Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kényszerítéséhez

  • Cikk

A szabályzatok Azure-ban történő létrehozásának és kezelésének megértése fontos ahhoz, hogy megfeleljen a vállalati szabványoknak és a szolgáltatói szerződéseknek. Ez az oktatóanyag bemutatja, hogyan használhatja az Azure Policyt a vállalaton belüli szabályzatok létrehozásához, hozzárendeléséhez és kezeléséhez kapcsolódó gyakori feladatok elvégzésére, például a következőkre:

  • Szabályzat hozzárendelése egy, a jövőben létrehozandó erőforrásokra vonatkozó feltétel kikényszerítésére
  • Kezdeményezési definíció létrehozása és hozzárendelése több erőforrás megfelelőségének nyomon követése céljából
  • Nem megfelelő vagy elutasított erőforrás feloldása
  • Új szabályzat megvalósítása a vállalaton belül

Ha szeretne hozzárendelni egy szabályzatot a meglévő erőforrások aktuális megfelelőségi állapotának azonosításához, a rövid útmutató cikkei ismertetik ennek módját.

Előfeltételek

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Szabályzat hozzárendelése

A megfelelőség Azure Policy használatával történő kikényszerítésének első lépése egy szabályzatdefiníció hozzárendelése. A szabályzatdefiníció határozza meg, hogy milyen feltétel teljesülése esetében lesz kikényszerítve a szabályzat, illetve milyen hatása lesz. Ebben a példában rendelje hozzá a Tag öröklése az erőforráscsoportból nevű beépített szabályzatdefiníciót, ha hiányzik, hogy a szülő erőforráscsoportból származó értékkel rendelkező megadott címkét hozzáadja a címkét hiányzó új vagy frissített erőforrásokhoz.

  1. Lépjen a Azure Portal a szabályzatok hozzárendeléséhez. Keresse meg és válassza a Szabályzat lehetőséget.

    Képernyőkép a szabályzat kereséséről a keresősávban.

  2. Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán. A hozzárendelés egy olyan szabályzat, amely egy adott hatókörön belül érvényes.

    Képernyőkép a Hozzárendelések csomópont kiválasztásáról a Szabályzat áttekintése lapon.

  3. Válassza a Szabályzat hozzárendelése lehetőséget a Szabályzat – Hozzárendelések oldal tetején.

    Képernyőkép a

  4. A Szabályzat hozzárendelése lapon és az Alapvető beállítások lapon válassza ki a Hatókört a három pontra kattintva, majd válasszon egy felügyeleti csoportot vagy előfizetést. Ha szeretne, válasszon erőforráscsoportot. A hatókör határozza meg, hogy a szabályzat-hozzárendelés milyen erőforrások vagy erőforráscsoportok esetében lesz kényszerítve. Ezután válassza a Hatókör lap alján található Kiválasztás lehetőséget.

    Ebben a példában a Contoso előfizetést használjuk. Saját előfizetése ettől eltérhet.

  5. Az erőforrások kizárhatóak a Hatókör alapján. A Kizárások alacsonyabb szinten kezdődnek, mint a Hatókör szintje. A Kizárások megadása nem kötelező, ezért most hagyja üresen a mezőt.

  6. Kattintson a Szabályzatdefiníció melletti három pontra az elérhető definíciók listájának megjelenítéséhez. A szabályzatdefiníció Típus tulajdonságát szűrheti Beépített érték alapján az összes megtekintéséhez és a leírásaik elolvasásához.

  7. Ha hiányzik, válassza a Címke öröklése az erőforráscsoportból lehetőséget. Ha nem találja azonnal, írjon be egy címkét a keresőmezőbe, majd nyomja le az ENTER billentyűt, vagy válassza ki a keresőmezőből. Miután megtalálta és kiválasztotta a szabályzatdefiníciót, válassza a Kiválasztás lehetőséget az Elérhető definíciók lap alján.

    Képernyőkép a keresési szűrőről egy szabályzatdefiníció kiválasztásakor.

  8. A Hozzárendelés neve mező automatikusan kitöltődik a kiválasztott szabályzat nevével, de megadhat más nevet is. Ebben a példában hagyja meg a Címke öröklése az erőforráscsoportból lehetőséget, ha hiányzik. Ha szeretné hozzáadhat egy Leírást. A leírás a szabályzat-hozzárendeléssel kapcsolatos információkat adja meg.

  9. Hagyja engedélyezve a házirend-kényszerítés beállítást. Ha le van tiltva, ez a beállítás lehetővé teszi a szabályzat kimenetelének tesztelését a hatás aktiválása nélkül. További információ: kényszerítési mód.

  10. A hozzárendelt felhasználó automatikusan ki van töltve attól függően, hogy ki van bejelentkezve. Ennek a mezőnek a kitöltése nem kötelező, tehát megadhatók egyedi értékek.

  11. Válassza a Paraméterek lapot a varázsló tetején.

  12. A Címke neve mezőben adja meg a Környezet nevet.

  13. Válassza a varázsló tetején található Szervizelés lapot.

  14. Hagyja bejelöletlenül a Szervizelési feladat létrehozása jelölőnégyzetet. Ez a mező lehetővé teszi, hogy olyan tevékenységet hozzon létre, amely az új vagy frissített erőforrások mellett a meglévő erőforrásokat is módosítja. További információ: Erőforrások szervizelése.

  15. A felügyelt identitás létrehozása automatikusan be van jelölve, mivel ez a szabályzatdefiníció a módosítási effektust használja. Az engedélyek a szabályzatdefiníció alapján automatikusan Közreműködő értékre lesznek állítva. További információ: Felügyelt identitások és a szervizelési hozzáférés-vezérlés működése.

  16. Válassza a Nem megfelelő üzenetek lapot a varázsló tetején.

  17. Állítsa a Meg nem felelés üzenetetaz Ez az erőforrás nem rendelkezik a szükséges címkével beállításra. Ez az egyéni üzenet akkor jelenik meg, ha a rendszer megtagad egy erőforrást vagy nem megfelelő erőforrásokat a rendszeres kiértékelés során.

  18. Válassza a véleményezés és létrehozás lapot a varázsló tetején.

  19. Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget az oldal alján.

Új egyéni szabályzat megvalósítása

Most, hogy hozzárendelt egy beépített szabályzatdefiníciót, még többet végezhet el az Azure Policyvel. Ezután hozzon létre egy új egyéni szabályzatot a költségek megtakarításához, mert ellenőrizze, hogy a környezetben létrehozott virtuális gépek nem lehetnek a G sorozatban. Így minden alkalommal, amikor a szervezet egy felhasználója megpróbál létrehozni egy virtuális gépet a G sorozatban, a rendszer elutasítja a kérést.

  1. A Azure Policy lap bal oldalán válassza a Definíciók elemet a Létrehozás területen.

    Képernyőkép a Szerzői műveletek csoport Definíciók lapjáról.

  2. Kattintson a + Szabályzatdefiníció elemre a lap tetején. Ez a gomb megnyílik a Szabályzatdefiníció lapon.

  3. Adja meg a következő információkat:

    • Az a felügyeleti csoport vagy előfizetés, amelyben a szabályzatdefiníció mentve lett. A kiválasztáshoz kattintson a Definíció helye alatt található három pontra.

      Megjegyzés

      Ha ezt a szabályzatdefiníciót több előfizetésre szeretné alkalmazni, a helynek egy olyan felügyeleti csoportnak kell lennie, amely tartalmazza azokat az előfizetéseket, amelyekhez hozzárendeli a szabályzatot. Ugyanez vonatkozik a kezdeményezési definíciókra.

    • A szabályzatdefiníció neve – A G sorozatban nem szereplő virtuálisgép-termékváltozatok megkövetelése

    • A szabályzatdefiníció rendeltetésének leírása – Ez a szabályzatdefiníció kikényszeríti, hogy a hatókörben létrehozott összes virtuális gép A G sorozattól eltérő termékváltozatokkal rendelkezzen a költségek csökkentése érdekében.

    • Válasszon a meglévő lehetőségek közül (például Compute), vagy hozzon létre egy új kategóriát ehhez a szabályzatdefinícióhoz.

    • Másolja le az alábbi JSON-kódot, és frissítse az igényeinek megfelelően az alábbiakkal:

      • A szabályzat paraméterei.
      • A szabályzatszabályok/feltételek, ebben az esetben – A virtuális gép termékváltozatának mérete G sorozattal egyenlő
      • A szabályzat hatása, ebben az esetben - Megtagadás.

    A JSON-kódnak így kell kinéznie. Illessze be a módosított kódot az Azure Portalra.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    A szabályzatszabály mezőtulajdonságának támogatott értéknek kell lennie. Az értékek teljes listája a szabályzatdefiníció-struktúramezőkben található. Példa egy aliasra: "Microsoft.Compute/VirtualMachines/Size".

    További Azure Policy minták megtekintéséhez lásd Azure Policy mintákat.

  4. Válassza a Mentés lehetőséget.

Szabályzatdefiníció létrehozása REST API-val

Szabályzatot a REST API-val hozhat létre Azure Policy-definíciókhoz. A REST API lehetővé teszi a szabályzatdefiníciók létrehozását és törlését, valamint a meglévő definíciók információinak lekérését. Szabályzatdefiníció létrehozásához használja a következő példát:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Használjon az alábbi példában láthatóhoz hasonló kéréstörzset:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Szabályzatdefiníció létrehozása a PowerShell használatával

A PowerShell-példa használata előtt győződjön meg arról, hogy telepítette az Azure PowerShell Az modul legújabb verzióját.

Szabályzatdefiníciót a New-AzPolicyDefinition parancsmag használatával is létrehozhat.

Szabályzatdefiníció fájlból történő létrehozásához adja meg a fájl elérési útját. Külső fájl esetében használja az alábbi példát:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Helyi fájl esetében használja a következő példát:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Beágyazott szabállyal rendelkező szabályzatdefiníció létrehozásához használja a következő példát:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

A kimenetet egy $definition objektumban tárolja a rendszer, amely a szabályzat-hozzárendelés során használatos. Az alábbi példában paramétereket tartalmazó szabályzatdefiníciót hozunk létre:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Szabályzatdefiníciók megtekintése a PowerShell használatával

Az előfizetés összes szabályzatdefiníciójának megtekintéséhez használja az alábbi parancsot:

Get-AzPolicyDefinition

Visszaadja az összes elérhető szabályzatdefiníciót, köztük a beépített szabályzatokat is. Minden szabályzat az alábbi formátumban lesz visszaadva:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Szabályzatdefiníció létrehozása az Azure CLI használatával

A paranccsal szabályzatdefiníciót hozhat létre az az policy definition Azure CLI használatával. Beágyazott szabállyal rendelkező szabályzatdefiníció létrehozásához használja a következő példát:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Szabályzatdefiníciók megtekintése az Azure CLI használatával

Az előfizetés összes szabályzatdefiníciójának megtekintéséhez használja az alábbi parancsot:

az policy definition list

Visszaadja az összes elérhető szabályzatdefiníciót, köztük a beépített szabályzatokat is. Minden szabályzat az alábbi formátumban lesz visszaadva:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Kezdeményezési definíció létrehozása és hozzárendelése

A kezdeményezési definícióval több szabályzatdefiníciót csoportosíthat egy átfogó cél eléréséhez. A kezdeményezés kiértékeli a hozzárendelés hatókörébe tartozó erőforrásokat a belefoglalt szabályzatoknak való megfelelés érdekében. További információt a kezdeményezési definíciókról az Azure Policy – áttekintés című részben talál.

Kezdeményezési definíció létrehozása

  1. A Azure Policy oldal bal oldalán válassza a Definíciók elemet a Létrehozás területen.

    Képernyőkép a Szerzői csoport Definíciók lapjáról.

  2. A lap tetején válassza a + Kezdeményezésdefiníció lehetőséget a Kezdeményezésdefiníció varázsló megnyitásához.

    Képernyőkép a kezdeményezésdefiníciós lapról és a beállítandó tulajdonságokról.

  3. A Kezdeményezés helye három ponttal válasszon ki egy felügyeleti csoportot vagy előfizetést a definíció tárolásához. Ha az előző lap hatóköre egyetlen felügyeleti csoportra vagy előfizetésre terjed ki, a rendszer automatikusan kitölti a kezdeményezés helyét .

  4. Adja meg a kezdeményezés nevét és leírását.

    Ez a példa ellenőrzi, hogy az erőforrások megfelelnek-e a biztonságossá tételre vonatkozó szabályzatdefinícióknak. Adja a kezdeményezésnek a Biztonságossá tétel nevet, és állítsa be a következő leírást: Ez a kezdeményezés az erőforrások biztosításához kapcsolódó szabályzatdefiníciók kezelésére lett létrehozva.

  5. A Kategória megadásakor válasszon a meglévő lehetőségek közül, vagy hozzon létre új kategóriát.

  6. Állítson be egy verziót a kezdeményezéshez, például az 1.0-s verziót.

    Megjegyzés

    A verzióérték szigorúan metaadatok, és nem használatos frissítésekhez vagy a Azure Policy szolgáltatás semmilyen folyamatához.

  7. Válassza a Tovább gombot a lap alján, vagy a házirendek lapot a varázsló tetején.

  8. Válassza a Szabályzatdefiníció(k) hozzáadása gombot, és tallózással keresse meg a listát. Válassza ki a kezdeményezéshez hozzáadni kívánt szabályzatdefiníció(ka)t. A Biztonságossá tétel kezdeményezéshez adja hozzá a következő beépített szabályzatdefiníciókat a szabályzatdefiníció melletti jelölőnégyzet bejelölésével:

    • Engedélyezett helyek
    • A végpontvédelmet telepíteni kell a gépekre
    • Az internetkapcsolattal nem rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
    • Azure Backup engedélyezni kell a Virtual Machines
    • A virtuális gépeken alkalmazni kell a lemeztitkosítást
    • Címke hozzáadása vagy cseréje erőforrásokhoz (kétszer adja hozzá ezt a szabályzatdefiníciót)

    Miután kiválasztotta az egyes szabályzatdefiníciók listáját, a lista alján válassza a Hozzáadás lehetőséget. Mivel kétszer van hozzáadva, az Erőforrás-szabályzatdefiníciók címkéjének hozzáadása vagy cseréje mindegyik más referenciaazonosítót kap.

    Képernyőkép a kiválasztott szabályzatdefiníciókról a hivatkozási azonosítójukkal és csoportjukkal a kezdeményezésdefiníció oldalán.

    Megjegyzés

    A kijelölt szabályzatdefiníciók hozzáadhatók a csoportokhoz egy vagy több hozzáadott definíció kiválasztásával, majd a Kijelölt szabályzatok hozzáadása csoporthoz lehetőséget választva. A csoportnak először léteznie kell, és a varázsló Csoportok lapján hozható létre.

  9. Válassza a Tovább gombot a lap alján, vagy a csoportok lapot a varázsló tetején. Ezen a lapon új csoportok vehetők fel. Ebben az oktatóanyagban nem adunk hozzá csoportokat.

  10. Válassza a Tovább gombot a lap alján vagy a Kezdeményezési paraméterek lapon a varázsló tetején. Ha azt szeretnénk, hogy egy paraméter létezik a kezdeményezésnél egy vagy több belefoglalt szabályzatdefiníciónak való továbbításhoz, a paraméter itt lesz definiálva, majd a Szabályzatparaméterek lapon lesz felhasználva. Ebben az oktatóanyagban nem adunk hozzá kezdeményezési paramétereket.

    Megjegyzés

    A kezdeményezésdefinícióba mentett kezdeményezési paraméterek nem törölhetők a kezdeményezésből. Ha már nincs szükség kezdeményezési paraméterre, távolítsa el a szabályzatdefiníciós paraméterekből.

  11. Válassza a Tovább gombot a lap alján, vagy a házirendparaméterek lapot a varázsló tetején.

  12. A kezdeményezéshez hozzáadott, paraméterekkel rendelkező szabályzatdefiníciók egy rácsban jelennek meg. Az érték típusa lehet "Alapértelmezett érték", "Érték beállítása" vagy "Kezdeményezési paraméter használata". Ha az "Érték beállítása" beállítás van kiválasztva, a kapcsolódó érték az Érték(ek) területen lesz megadva. Ha a szabályzatdefiníció paramétere tartalmazza az engedélyezett értékek listáját, a beviteli mező egy legördülő listaválasztó. Ha a "Kezdeményezési paraméter használata" lehetőség van kiválasztva, a legördülő lista kiválasztásakor megjelenik a Kezdeményezési paraméterek lapon létrehozott kezdeményezési paraméterek neve.

    Képernyőkép az engedélyezett helyek definíciós paraméterének engedélyezett értékeire vonatkozó lehetőségekről a kezdeményezésdefiníció lap házirendparaméterek lapján.

    Megjegyzés

    Egyes strongType paraméterek esetében az értékek listája nem határozható meg automatikusan. Ezekben az esetekben három pont jelenik meg a paraméterek sorától jobbra. A kiválasztásával megnyílik a "Paraméter hatóköre (<paraméter neve>)" lap. Ezen az oldalon válassza ki az értéklehetőségek biztosítására szolgáló előfizetést. Ez a paraméter-hatókör kizárólag a kezdeményezés hozzárendelésének létrehozásakor használatos, és hozzárendelésekor nincs hatással a szabályzat-kiértékelésre vagy a kezdeményezés hatókörére.

    Állítsa az "Engedélyezett helyek" értéktípust "Érték beállítása" értékre, és válassza az USA 2. keleti régiója elemet a legördülő listából. Az Erőforrás-szabályzatdefiníciók címkéjének hozzáadása vagy cseréje két példánya esetén állítsa a Címkenév paramétereket "Env" és "CostCenter" értékre, a Címkeérték paramétereket pedig "Teszt" és "Lab" értékre az alább látható módon. Hagyja a többit "Alapértelmezett értékként". Ugyanazt a definíciót kétszer használva a kezdeményezésben, de különböző paraméterekkel, ez a konfiguráció hozzáad vagy lecserél egy "Env" címkét a "Test" értékre, a CostCenter címkét pedig a "Lab" értékre a hozzárendelés hatókörében lévő erőforrásokon.

    Képernyőkép az engedélyezett helyek definíciós paraméterének engedélyezett értékeire és mindkét címkeparaméter-készlet értékeire vonatkozó megadott beállításokról a kezdeményezésdefiníciós lap szabályzatparaméterek lapján.

  13. Válassza a Véleményezés + létrehozás lehetőséget az oldal alján vagy a varázsló tetején.

  14. Tekintse át a beállításokat, és válassza a Létrehozás lehetőséget.

Szabályzat kezdeményezési definíciójának létrehozása az Azure CLI-vel

A paranccsal létrehozhat egy szabályzat kezdeményezési definíciót az az policy set-definition Azure CLI használatával. Ha egy szabályzatkezdeményezet-definíciót meglévő szabályzatdefinícióval szeretne létrehozni, használja az alábbi példát:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Szabályzat kezdeményezési definíciójának létrehozása Azure PowerShell

A szabályzat kezdeményezési definícióját a parancsmaggal New-AzPolicySetDefinition Azure PowerShell használatával hozhatja létre. Ha egy szabályzatkezdeményezet-definíciót egy meglévő szabályzatdefinícióval szeretne létrehozni, használja a következő szabályzatkezdeményezet-definíciós fájlt:VMPolicySet.json

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Kezdeményezési definíció hozzárendelése

  1. A Azure Policy oldal bal oldalán válassza a Definíciók elemet a Létrehozás területen.

  2. Keresse meg és válassza ki a korában létrehozott Biztonságossá tétel kezdeményezési definíciót. A lap tetején válassza a Hozzárendelés lehetőséget a Biztonságossá tétel: Kezdeményezés hozzárendelése lap megnyitásához.

    Képernyőkép a kezdeményezésdefiníció oldalán található

    Kijelölheti és megtarthatja a kijelölt sort (vagy jobb gombbal kattinthat rá), vagy kijelölheti a három pontot a sor végén egy helyi menüben. Ezután válassza a Hozzárendelés lehetőséget.

    Képernyőkép egy kezdeményezés helyi menüjéről a Hozzárendelés funkció kiválasztásához.

  3. A Biztonságossá tétel: kezdeményezés hozzárendelése oldalon adja meg a következő példaadatokat. A saját adatait is használhatja.

    • Hatókör: A felügyeleti csoport vagy előfizetés, ahová a kezdeményezést mentette lesz az alapértelmezett. A hatókör módosításához mentse a kezdeményezést egy előfizetésbe vagy erőforráscsoportba a mentési helyen belül.
    • Kizárások: a hatókörön belül bármely erőforrást konfigurálhatja úgy, hogy a kezdeményezési hozzárendelés ne legyen alkalmazva rá.
    • Kezdeményezési definíció és hozzárendelés neve: Biztonságossá tétel (a rendszer automatikusan a hozzárendelt kezdeményezés nevével tölti fel a mezőt).
    • Leírás: Ez a kezdeményezési hozzárendelés ennek a szabályzatdefiníció-csoportnak a kikényszerítésére lett létrehozva.
    • Szabályzatkényszerítés: Hagyja meg alapértelmezett engedélyezveként.
    • Hozzárendelte: A kitöltése automatikus az éppen bejelentkezett felhasználó alapján. Ennek a mezőnek a kitöltése nem kötelező, tehát megadhatók egyedi értékek.

  4. Válassza a Paraméterek lapot a varázsló tetején. Ha az előző lépésekben konfigurált egy kezdeményezési paramétert, itt állítson be egy értéket.

  5. Válassza a varázsló tetején található Szervizelés lapot. A Felügyelt identitás létrehozása jelölőnégyzetet hagyja üresen. Ezt a jelölőnégyzetet be kell jelölni, ha a hozzárendelt szabályzat vagy kezdeményezés tartalmaz egy szabályzatot a deployIfNotExists vagy a módosítási effektusokkal. Mivel az oktatóanyaghoz használt szabályzat nem, hagyja üresen. További információ: Felügyelt identitások és a szervizelési hozzáférés-vezérlés működése.

  6. Válassza a véleményezés és létrehozás lapot a varázsló tetején.

  7. Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget az oldal alján.

Kezdeti megfelelőség ellenőrzése

  1. Válassza a Megfelelőség lehetőséget az Azure Policy lap bal oldalán.

  2. Keresse meg a Biztonságossá tétel kezdeményezést. Valószínűleg még mindig Nem indult elmegfelelőségi állapotban van. Válassza ki a kezdeményezést a feladat teljes részleteinek lekéréséhez.

    Képernyőkép a Kezdeményezés megfelelőségi oldaláról, amelyen a hozzárendelések kiértékelése Nem indult el állapotban látható.

  3. A kezdeményezés hozzárendelésének befejezését követően a megfelelőségi lap frissül a MegfelelőMegfelelőségi állapottal.

    Képernyőkép a Kezdeményezés megfelelőségi oldaláról, amelyen a hozzárendelések kiértékelése befejeződött és Megfelelő állapotban van.

  4. Ha kiválaszt egy szabályzatot a kezdeményezés megfelelőségi oldalán, megnyílik a szabályzat megfelelőségi részleteinek oldala. Ez a lap az erőforrás szintjén tartalmaz részleteket a megfelelőséghez.

Nem megfelelő vagy megtagadott erőforrás eltávolítása a hatókörből kizárással

Miután hozzárendelt egy szabályzatkezdeményezést egy adott hely megköveteléséhez, a rendszer elutasítja a másik helyen létrehozott erőforrásokat. Ebben a szakaszban végigvezeti egy erőforrás létrehozására irányuló megtagadott kérés feloldásán egy kivétel egyetlen erőforráscsoporton történő létrehozásával. A kizárás megakadályozza a szabályzat (vagy kezdeményezés) kényszerítését az adott erőforráscsoporton. Az alábbi példában bármely hely engedélyezve van a kizárt erőforráscsoportban. A kizárás vonatkozhat egy előfizetésre, egy erőforráscsoportra vagy egy egyéni erőforrásra.

Megjegyzés

Egy szabályzat kivétele is használható, ha kihagyja egy erőforrás kiértékelését. További információ: Hatókör Azure Policy.

A hozzárendelt szabályzat vagy kezdeményezés által megakadályozott üzemelő példányok az üzemelő példány által megcélzott erőforráscsoportban tekinthetők meg: Válassza az Üzemelő példányok lehetőséget a lap bal oldalán, majd válassza ki a sikertelen üzembe helyezés központi telepítésének nevét . Az elutasított erőforrás Tiltott állapotúként jelenik meg a listában. Az erőforrást megtagadó szabályzat vagy kezdeményezés és hozzárendelés meghatározásához válassza a Sikertelen lehetőséget. Kattintson ide a részletekért –> az Üzembe helyezés áttekintése oldalon. A lap jobb oldalán megnyílik egy ablak a hibára vonatkozó információkkal. A Hiba részletei területen találhatók a kapcsolódó szabályzatobjektumok GUID-jai.

Képernyőkép egy szabályzat-hozzárendelés által elutasított sikertelen üzembe helyezésről.

A Azure Policy oldalon: Válassza a Megfelelőség lehetőséget a lap bal oldalán, és válassza a Biztonságos szabályzat lekérése kezdeményezést. Ezen a lapon megnőtt a letiltott erőforrások megtagadási száma. Az Események lapon részletes információkat talál arról, hogy ki próbálta létrehozni vagy üzembe helyezni a szabályzatdefiníció által elutasított erőforrást.

Képernyőkép az Események lapról és a szabályzatesemény részleteiről a Kezdeményezés megfelelősége oldalon.

Ebben a példában Trent Baker, a Contoso egyik sr. virtualizálási szakembere a szükséges munkát végezte. Helyet kell adnunk Trentnek egy kivételhez. Hozzon létre egy új, LocationsExcluded nevű erőforráscsoportot, és adjon neki kivételt a szabályzat-hozzárendelés alól.

Hozzárendelés frissítése egy kizárással

  1. A Azure Policy lap bal oldalán válassza a Hozzárendelések elemet a Szerzői műveletek területen.

  2. Tallózással tekintse át az összes szabályzat-hozzárendelést, és nyissa meg a Biztonságos szabályzat hozzárendelésének lekérése lehetőséget.

  3. A Kizárás beállításához válassza ki a három pontot, majd válassza ki a kizárni kívánt erőforráscsoportot, a Példában kizárt HelyekExcluded értéket. Válassza a Hozzáadás a kijelölt hatókörhöz , majd a Mentés lehetőséget.

    Képernyőkép a Kezdeményezés hozzárendelése lapon található Kizárások lehetőségről, amely egy kizárt erőforráscsoportot ad hozzá a szabályzat-hozzárendeléshez.

    Megjegyzés

    A szabályzatdefiníciótól és annak hatásától függően a kizárás a hozzárendelés hatókörén belüli erőforráscsoporton belüli adott erőforrásokra is vonatkozhat. Mivel ebben az oktatóanyagban megtagadási effektust használtak, nem lenne értelme beállítani a kizárást egy már létező erőforráson.

  4. Válassza az Áttekintés + mentés , majd a Mentés lehetőséget.

Ebben a szakaszban úgy oldotta meg a megtagadott kérést, hogy egy kivételt hozott létre egyetlen erőforráscsoporton.

Az erőforrások eltávolítása

Ha végzett az oktatóanyag erőforrásaival, az alábbi lépésekkel törölheti a fent létrehozott szabályzat-hozzárendeléseket vagy definíciókat:

  1. A Azure Policy lap bal oldalán válassza a Definíciók (vagy Hozzárendelések, ha törölni próbál egy feladatot) lehetőséget a Szerzői műveletek területen.

  2. Keresse meg az eltávolítani kívánt új kezdeményezést vagy szabályzatdefiníciót (vagy hozzárendelést).

  3. Kattintson a jobb gombbal a sorra, vagy a bal gombbal a definíció (vagy a hozzárendelés) mellett található három pontra, majd a Definíció törlése (vagy a Hozzárendelés törlése) parancsra.

Áttekintés

Ebben az oktatóanyagban sikeresen elvégezte a következőket:

  • Hozzárendelt egy szabályzatot egy, a jövőben létrehozandó erőforrásokra vonatkozó feltétel kikényszerítésére
  • Létrehozott és hozzárendelt egy kezdeményezési definíciót több erőforrás megfelelőségének nyomon követése céljából
  • Feloldott egy nem megfelelő vagy elutasított erőforrást
  • Megvalósított egy új szabályzatot a vállalaton belül

Következő lépések

A szabályzatdefiníciók szerkezetéről szóló további információkért lásd az alábbi cikket:

Azure szabályzatdefiníciók struktúrája