Megosztás a következőn keresztül:

Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítése céljából

  • Cikk

A szabályzatok Azure-beli létrehozásának és kezelésének megértése fontos a vállalati szabványoknak és szolgáltatási szintű szerződéseknek való megfelelés érdekében. Ez az oktatóanyag bemutatja, hogyan használhatja az Azure Policyt a vállalaton belüli szabályzatok létrehozásához, hozzárendeléséhez és kezeléséhez kapcsolódó gyakori feladatok elvégzésére, például a következőkre:

  • Szabályzat hozzárendelése egy, a jövőben létrehozandó erőforrásokra vonatkozó feltétel kikényszerítésére
  • Kezdeményezési definíció létrehozása és hozzárendelése több erőforrás megfelelőségének nyomon követése céljából
  • Nem megfelelő vagy elutasított erőforrás feloldása
  • Új szabályzat megvalósítása a vállalaton belül

Ha szeretne hozzárendelni egy szabályzatot a meglévő erőforrások aktuális megfelelőségi állapotának azonosításához, a rövid útmutató cikkei ismertetik ennek módját.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Szabályzat hozzárendelése

A megfelelőség Azure Policy használatával történő kikényszerítésének első lépése egy szabályzatdefiníció hozzárendelése. A szabályzatdefiníció határozza meg, hogy milyen feltétel teljesülése esetében lesz kikényszerítve a szabályzat, illetve milyen hatása lesz. Ebben a példában rendelje hozzá az erőforráscsoportból származó címke öröklése nevű beépített szabályzatdefiníciót, ha hiányzik , hogy a szülő erőforráscsoportból származó értékkel rendelkező megadott címkét hozzáadja a címkét hiányzó új vagy frissített erőforrásokhoz.

  1. Lépjen az Azure Portalra a szabályzatok hozzárendeléséhez. Keresse meg és válassza ki a Szabályzatot.

    Képernyőkép a szabályzat kereséséről a keresősávon.

  2. Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán. A hozzárendelés egy olyan szabályzat, amely egy adott hatókörön belül érvényes.

    Képernyőkép a Hozzárendelések csomópont kiválasztásáról a Szabályzat áttekintése lapon.

  3. Válassza a Szabályzat hozzárendelése lehetőséget a Szabályzat tetején | Hozzárendelések lap.

    Képernyőkép a Hozzárendelések lapon található

  4. A Szabályzat hozzárendelése lapon és az Alapszintű beállítások lapon válassza ki a hatókört a három pont kiválasztásával, valamint egy felügyeleti csoport vagy előfizetés kiválasztásával. Ha szeretne, válasszon erőforráscsoportot. A hatókör határozza meg, hogy a szabályzat-hozzárendelés milyen erőforrások vagy erőforráscsoportok esetében lesz kényszerítve. Ezután válassza a Kijelölés lehetőséget a Hatókör lap alján.

  5. Az erőforrások kizárhatóak a Hatókör alapján. A Kizárások alacsonyabb szinten kezdődnek, mint a Hatókör szintje. A Kizárások megadása nem kötelező, ezért most hagyja üresen a mezőt.

  6. Kattintson a Szabályzatdefiníció melletti három pontra az elérhető definíciók listájának megjelenítéséhez. A szabályzatdefiníció Típus tulajdonságát szűrheti Beépített érték alapján az összes megtekintéséhez és a leírásaik elolvasásához.

  7. Ha hiányzik, válassza a Címke öröklése az erőforráscsoportból lehetőséget. Ha nem találja azonnal, írjon be egy címkét a keresőmezőbe, majd nyomja le az ENTER billentyűt, vagy válassza ki a keresőmezőből. Miután megtalálta és kiválasztotta a szabályzatdefiníciót, válassza a Kiválasztás lehetőséget az Elérhető definíciók lap alján.

    Képernyőkép a keresési szűrőről egy szabályzatdefiníció kiválasztásakor.

  8. A verzió automatikusan fel lesz töltve a definíció legújabb főverziójára, és úgy van beállítva, hogy automatikusan beszúrja a nem kompatibilitástörő módosításokat. A verziót módosíthatja másra, ha elérhető, vagy módosíthatja a betöltési beállításokat, de nincs szükség módosításra. A felülbírálások nem kötelezőek, ezért egyelőre hagyja üresen.

  9. A Hozzárendelés neve mező automatikusan kitöltődik a kiválasztott szabályzat nevével, de megadhat más nevet is. Ebben a példában hagyja meg az erőforráscsoportból származó címke öröklését, ha hiányzik. Ha szeretné hozzáadhat egy Leírást. A leírás a szabályzat-hozzárendeléssel kapcsolatos információkat adja meg.

  10. Hagyja engedélyezve a szabályzatkényszerítést. Ha le van tiltva, ez a beállítás lehetővé teszi a szabályzat kimenetelének tesztelését az effektus aktiválása nélkül. További információ: kényszerítési mód.

  11. Válassza a Paraméterek lapot a varázsló tetején.

  12. A Címke neve mezőbe írja be a Környezet nevet.

  13. Válassza a Szervizelés lapot a varázsló tetején.

  14. Hagyja bejelöletlenül a Szervizelési feladat létrehozása jelölőnégyzetet. Ez a mező lehetővé teszi, hogy olyan feladatot hozzon létre, amely az új vagy frissített erőforrások mellett a meglévő erőforrásokat is módosítja. További információ: erőforrások szervizelése.

  15. A felügyelt identitás létrehozása automatikusan be van jelölve, mivel ez a szabályzatdefiníció a módosítási effektust használja. A felügyelt identitás típusa a Rendszer hozzárendelve értékre van állítva. Az engedélyek a szabályzatdefiníció alapján automatikusan Közreműködő értékre lesznek állítva. További információ: felügyelt identitások és a szervizelési hozzáférés-vezérlés működése.

  16. Válassza a Nemmegfeleltségi üzenetek lapot a varázsló tetején.

  17. Állítsa be a meg nem felelés üzenetét erre az erőforrásra , amely nem rendelkezik a szükséges címkével. Ez az egyéni üzenet akkor jelenik meg, ha egy erőforrást megtagadnak, vagy nem megfelelő erőforrásokat keresnek a rendszeres kiértékelés során.

  18. Válassza a Véleményezés + létrehozás lapot a varázsló tetején.

  19. Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget a lap alján.

Új egyéni szabályzat megvalósítása

Most, hogy hozzárendelt egy beépített szabályzatdefiníciót, még többet végezhet el az Azure Policyvel. Ezután hozzon létre egy új egyéni szabályzatot a költségek megtakarításához, ha ellenőrzi, hogy a környezetben létrehozott virtuális gépek nem lehetnek a G sorozatban. Így minden alkalommal, amikor a szervezet egy felhasználója megpróbál létrehozni egy virtuális gépet a G sorozatban, a rendszer megtagadja a kérést.

  1. A Létrehozás területen válassza a Definíciók elemet az Azure Policy lap bal oldalán.

    Képernyőkép a Definíciók lapról a Szerzői csoport alatt.

  2. Kattintson a + Szabályzatdefiníció elemre a lap tetején. Ez a gomb megnyílik a Szabályzatdefiníció lapra.

  3. Adja meg a következő adatokat:

    • Az a felügyeleti csoport vagy előfizetés, amelyben a szabályzatdefiníció mentve lett. A kiválasztáshoz kattintson a Definíció helye alatt található három pontra.

      Feljegyzés

      Ha ezt a szabályzatdefiníciót több előfizetésre szeretné alkalmazni, a helynek egy olyan felügyeleti csoportnak kell lennie, amely tartalmazza azokat az előfizetéseket, amelyekhez hozzárendeli a szabályzatot. Ugyanez vonatkozik a kezdeményezési definíciókra.

    • A szabályzatdefiníció neve – A virtuálisgép-termékváltozatok megkövetelése nem a G sorozatban

    • A szabályzatdefiníció rendeltetésének leírása – Ez a szabályzatdefiníció kikényszeríti, hogy az ebben a hatókörben létrehozott összes virtuális gép a G sorozattól eltérő termékváltozatokkal rendelkezzen a költségek csökkentése érdekében.

    • Válasszon a meglévő lehetőségek közül (például Compute), vagy hozzon létre egy új kategóriát ehhez a szabályzatdefinícióhoz.

    • Másolja le az alábbi JSON-kódot, és frissítse az igényeinek megfelelően az alábbiakkal:

      • A szabályzat paraméterei.
      • A szabályzatszabályok/feltételek ebben az esetben – A virtuálisgép-termékváltozat mérete G sorozattal egyenlő
      • A szabályzat hatása ebben az esetben – Elutasítás.

    A JSON-kódnak így kell kinéznie. Illessze be a módosított kódot az Azure Portalra.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    A szabályzatszabály mezőtulajdonságának támogatott értéknek kell lennie. Az értékek teljes listája megtalálható a szabályzatdefiníció struktúramezőiben. Példa egy aliasra: "Microsoft.Compute/VirtualMachines/Size".

    További Azure Policy-minták megtekintéséhez tekintse meg az Azure Policy-mintákat.

  4. Válassza a Mentés lehetőséget.

Szabályzatdefiníció létrehozása REST API-val

Szabályzatot az Azure Policy-definíciókhoz készült REST API-val hozhat létre. A REST API lehetővé teszi a szabályzatdefiníciók létrehozását és törlését, valamint a meglévő definíciók információinak lekérését. Szabályzatdefiníció létrehozásához használja a következő példát:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Használjon az alábbi példában láthatóhoz hasonló kéréstörzset:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Szabályzatdefiníció létrehozása a PowerShell használatával

A PowerShell-példa használata előtt győződjön meg arról, hogy telepítette az Azure PowerShell Az modul legújabb verzióját.

Szabályzatdefiníciót a New-AzPolicyDefinition parancsmag használatával is létrehozhat.

Szabályzatdefiníció fájlból történő létrehozásához adja meg a fájl elérési útját. Külső fájl esetében használja az alábbi példát:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Helyi fájl esetében használja a következő példát:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Beágyazott szabállyal rendelkező szabályzatdefiníció létrehozásához használja a következő példát:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

A kimenetet egy $definition objektumban tárolja a rendszer, amely a szabályzat-hozzárendelés során használatos. Az alábbi példában paramétereket tartalmazó szabályzatdefiníciót hozunk létre:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Szabályzatdefiníciók megtekintése a PowerShell használatával

Az előfizetés összes szabályzatdefiníciójának megtekintéséhez használja az alábbi parancsot:

Get-AzPolicyDefinition

Visszaadja az összes elérhető szabályzatdefiníciót, köztük a beépített szabályzatokat is. Minden szabályzat az alábbi formátumban lesz visszaadva:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Szabályzatdefiníció létrehozása az Azure CLI használatával

A parancs használatával szabályzatdefiníciót hozhat létre az az policy definition Azure CLI használatával. Beágyazott szabállyal rendelkező szabályzatdefiníció létrehozásához használja a következő példát:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Szabályzatdefiníciók megtekintése az Azure CLI használatával

Az előfizetés összes szabályzatdefiníciójának megtekintéséhez használja az alábbi parancsot:

az policy definition list

Visszaadja az összes elérhető szabályzatdefiníciót, köztük a beépített szabályzatokat is. Minden szabályzat az alábbi formátumban lesz visszaadva:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "version": "1.0.0"
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Kezdeményezési definíció létrehozása és hozzárendelése

A kezdeményezési definícióval több szabályzatdefiníciót csoportosíthat egy átfogó cél eléréséhez. A kezdeményezés kiértékeli az erőforrásokat a hozzárendelés hatókörén belül a belefoglalt szabályzatoknak való megfelelés érdekében. További információt a kezdeményezési definíciókról az Azure Policy – áttekintés című részben talál.

Kezdeményezési definíció létrehozása

  1. A Létrehozás területen válassza a Definíciók elemet az Azure Policy lap bal oldalán.

    Képernyőkép a Definíciók lapról a Szerzői csoport alatt.

  2. Válassza a lap tetején található + Kezdeményezésdefiníció lehetőséget a Kezdeményezés definíciója varázsló megnyitásához.

    Képernyőkép a kezdeményezés definíciós oldaláról és a beállítani kívánt tulajdonságokról.

  3. A kezdeményezés helyének három pontját használva válasszon ki egy felügyeleti csoportot vagy előfizetést a definíció tárolásához. Ha az előző lap hatóköre egyetlen felügyeleti csoportra vagy előfizetésre terjed ki, a kezdeményezés helye automatikusan fel lesz töltve.

  4. Adja meg a kezdeményezés nevét és leírását.

    Ez a példa ellenőrzi, hogy az erőforrások megfelelnek-e a biztonságossá tételről szóló szabályzatdefinícióknak. Adja a kezdeményezésnek a Biztonságossá tétel nevet, és állítsa be a következő leírást: Ez a kezdeményezés az erőforrások biztosításához kapcsolódó szabályzatdefiníciók kezelésére lett létrehozva.

  5. A Kategória megadásakor válasszon a meglévő lehetőségek közül, vagy hozzon létre új kategóriát.

  6. Állítson be egy verziót a kezdeményezéshez, például az 1.0-s verziót.

    Feljegyzés

    A verzióérték szigorúan metaadatok, és az Azure Policy szolgáltatás nem használja frissítésekhez vagy folyamatokhoz.

  7. Válassza a Tovább gombot a lap alján, vagy a varázsló tetején található Szabályzatok lapot.

  8. Válassza a Szabályzatdefiníció(k) hozzáadása gombot, és tallózással keresse meg a listát. Válassza ki a kezdeményezéshez hozzáadni kívánt szabályzatdefiníció(ka)t. A Biztonságossá tétel kezdeményezéshez adja hozzá a következő beépített szabályzatdefiníciókat a szabályzatdefiníció melletti jelölőnégyzet bejelölésével:

    • Engedélyezett helyek
    • A végpontvédelmet telepíteni kell a gépekre
    • Az internetkapcsolattal nem rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
    • Az Azure Backupot engedélyezni kell a virtuális gépeken
    • A virtuális gépeken alkalmazni kell a lemeztitkosítást
    • Címke hozzáadása vagy cseréje az erőforrásokon (kétszer adja hozzá ezt a szabályzatdefiníciót)

    Miután kiválasztotta az egyes szabályzatdefiníciók listáját, válassza a Lista alján található Hozzáadás lehetőséget. Mivel kétszer van hozzáadva, a Címke hozzáadása vagy cseréje az erőforrásházirend-definíciókhoz mindegyike eltérő referencia-azonosítót kap.

    Képernyőkép a kiválasztott szabályzatdefiníciókról a referencia-azonosítójukkal és csoportjukkal a kezdeményezésdefiníció oldalán.

    Feljegyzés

    A kijelölt szabályzatdefiníciók hozzáadhatók a csoportokhoz egy vagy több hozzáadott definíció kiválasztásával, majd a Kijelölt szabályzatok hozzáadása csoporthoz lehetőség kiválasztásával. A csoportnak először léteznie kell, és a varázsló Csoportok lapján hozható létre.

  9. Válassza a Tovább gombot a lap alján vagy a varázsló tetején található Csoportok fület. Ezen a lapon új csoportok vehetők fel. Ebben az oktatóanyagban nem adunk hozzá csoportokat.

  10. Válassza a Tovább gombot a lap alján, vagy a varázsló tetején található Kezdeményezési paraméterek lapot. Ha azt szeretnénk, hogy egy paraméter létezik a kezdeményezésnél, amely egy vagy több belefoglalt szabályzatdefiníciónak ad át, a paraméter itt lesz definiálva, majd a Szabályzat paraméterei lapon lesz használva. Ebben az oktatóanyagban nem adunk hozzá kezdeményezési paramétereket.

    Feljegyzés

    A kezdeményezési definícióba mentett kezdeményezési paraméterek nem törölhetők a kezdeményezésből. Ha már nincs szükség kezdeményezési paraméterre, távolítsa el azt a szabályzatdefiníciós paraméterek használatából.

  11. Válassza a Tovább gombot a lap alján, vagy a varázsló tetején található Szabályzatparaméterek lapot.

  12. A kezdeményezéshez hozzáadott, paraméterekkel rendelkező szabályzatdefiníciók egy rácsban jelennek meg. Az érték típusa lehet "Alapértelmezett érték", "Érték beállítása" vagy "Kezdeményezési paraméter használata". Ha az "Érték beállítása" lehetőség van kiválasztva, a rendszer a kapcsolódó értéket az Érték(ek) területen adja meg. Ha a szabályzatdefiníció paramétere rendelkezik az engedélyezett értékek listájával, a beviteli mező egy legördülő listaválasztó. Ha a "Kezdeményezési paraméter használata" lehetőség van kiválasztva, a legördülő listából kiválasztva megjelenik a Kezdeményezési paraméterek lapon létrehozott kezdeményezési paraméterek neve.

    Képernyőkép az engedélyezett helyek definíciós paraméterének engedélyezett értékeiről a kezdeményezés definíciós lapjának szabályzatparaméterek lapján.

    Feljegyzés

    Egyes strongType paraméterek esetében az értékek listája nem határozható meg automatikusan. Ezekben az esetekben három pont jelenik meg a paraméterek sorától jobbra. Ha bejelöli, megnyílik a "Paraméter hatóköre (<paraméter neve>)" lap. Ezen az oldalon válassza ki az értéklehetőségek biztosítására szolgáló előfizetést. Ez a paraméter-hatókör kizárólag a kezdeményezés hozzárendelésének létrehozásakor használatos, és hozzárendelésekor nincs hatással a szabályzat-kiértékelésre vagy a kezdeményezés hatókörére.

    Állítsa az "Engedélyezett helyek" értéktípust "Érték beállítása" értékre, és válassza az "USA 2. keleti régiója" lehetőséget a legördülő listából. Az erőforrásházirend-definíciók címkéjének hozzáadása vagy cseréje két példánya esetén állítsa a címkenév paramétereit "Env" és "CostCenter" értékre, a Címke értékének paramétereit pedig "Teszt" és "Tesztkörnyezet" értékre az alább látható módon. Hagyja a többit "Alapértelmezett értékként". Ha ugyanazt a definíciót kétszer használja a kezdeményezésben, de különböző paraméterekkel, ez a konfiguráció hozzáad vagy lecserél egy "Env" címkét a "Test" értékre, a CostCenter címkét pedig a "Lab" értékre a hozzárendelés hatókörében lévő erőforrásokon.

    Képernyőkép az engedélyezett helyek definíciós paraméterének engedélyezett értékeiről és mindkét címkeparaméter-készlet értékeiről a kezdeményezésdefiníció oldal házirendparaméterek lapján.

  13. Válassza a Véleményezés + létrehozás lehetőséget a lap alján vagy a varázsló tetején.

  14. Tekintse át a beállításokat, és válassza a Létrehozás lehetőséget.

Szabályzat kezdeményezési definíciójának létrehozása az Azure CLI-vel

A paranccsal létrehozhat egy szabályzat kezdeményezési definíciót az az policy set-definition Azure CLI használatával. Ha egy meglévő szabályzatdefinícióval szeretne szabályzatkezdeményezmény-definíciót létrehozni, használja az alábbi példát:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Szabályzat kezdeményezési definíciójának létrehozása az Azure PowerShell-lel

A szabályzat kezdeményezési definícióját az Azure PowerShell használatával hozhatja létre a New-AzPolicySetDefinition parancsmaggal. Ha meglévő szabályzatdefinícióval szeretne szabályzatkezdeményezmény-definíciót létrehozni, használja a következő szabályzatkezdeményezmény-definíciós fájlt VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Kezdeményezési definíció hozzárendelése

  1. A Létrehozás területen válassza a Definíciók elemet az Azure Policy lap bal oldalán.

  2. Keresse meg és válassza ki a korában létrehozott Biztonságossá tétel kezdeményezési definíciót. Kattintson az oldal tetején található Hozzárendelés lehetőségre a Biztonságossá tétel: kezdeményezés hozzárendelése oldal megnyitásához.

    Képernyőkép a kezdeményezés definíciós oldalán található

    Kijelölheti és megtarthatja a kijelölt sort (vagy kattintson rá a jobb gombbal), vagy kijelölheti a három pontot a sor végén egy helyi menüben. Ott válassza a Hozzárendelés parancsot.

    Képernyőkép egy kezdeményezés helyi menüjéről a Hozzárendelés funkció kiválasztásához.

  3. A Biztonságossá tétel: kezdeményezés hozzárendelése oldalon adja meg a következő példaadatokat. A saját adatait is használhatja.

    • Hatókör: Az a felügyeleti csoport vagy előfizetés, amelybe a kezdeményezést mentette, hogy az alapértelmezett legyen. A hatókör módosításával hozzárendelheti a kezdeményezést egy előfizetéshez vagy erőforráscsoporthoz a mentett helyen belül.
    • Kizárások: a hatókörön belül bármely erőforrást konfigurálhatja úgy, hogy a kezdeményezési hozzárendelés ne legyen alkalmazva rá.
    • Kezdeményezési definíció és hozzárendelés neve: Biztonságossá tétel (a rendszer automatikusan a hozzárendelt kezdeményezés nevével tölti fel a mezőt).
    • Leírás: Ez a kezdeményezési hozzárendelés ennek a szabályzatdefiníció-csoportnak a kikényszerítésére lett létrehozva.
    • Szabályzatkényszerítés: Hagyja meg alapértelmezettként engedélyezettként.
    • Hozzárendelte: A kitöltése automatikus az éppen bejelentkezett felhasználó alapján. A mező kitöltése nem kötelező, megadhatók egyéni értékek.

  4. Válassza a Paraméterek lapot a varázsló tetején. Ha az előző lépésekben konfigurált egy kezdeményezési paramétert, itt állítson be egy értéket.

  5. Válassza a Szervizelés lapot a varázsló tetején. A Felügyelt identitás létrehozása jelölőnégyzetet hagyja üresen. Ezt a jelölőnégyzetet akkor kell bejelölni, ha a hozzárendelt szabályzat vagy kezdeményezés tartalmaz egy, a deployIfNotExists vagy a módosítási effektusokat tartalmazó szabályzatot. Mivel az oktatóanyaghoz használt szabályzat nem, hagyja üresen. További információ: felügyelt identitások és a szervizelési hozzáférés-vezérlés működése.

  6. Válassza a Véleményezés + létrehozás lapot a varázsló tetején.

  7. Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget a lap alján.

Kezdeti megfelelőség ellenőrzése

  1. Válassza a Megfelelőség lehetőséget az Azure Policy lap bal oldalán.

  2. Keresse meg a Get Secure kezdeményezést. Valószínűleg még mindig nem indult el megfelelőségi állapotban. Válassza ki a kezdeményezést a feladat részleteinek lekéréséhez.

    Képernyőkép a Kezdeményezés megfelelőségi oldaláról, amelyen a hozzárendelések kiértékelése nem indult el.

  3. A kezdeményezés hozzárendelésének befejezését követően a megfelelőségi lap frissül a MegfelelőMegfelelőségi állapottal.

    Képernyőkép a Kezdeményezés megfelelőségi oldaláról, amelyen a feladatok kiértékelése befejeződött és megfelelő állapotban van.

  4. Ha kiválaszt egy szabályzatot a kezdeményezés megfelelőségi lapján, megnyílik a szabályzat megfelelőségi részleteinek oldala. Ez a lap az erőforrás szintjén tartalmaz részleteket a megfelelőséghez.

Nem megfelelő vagy megtagadott erőforrás eltávolítása a hatókörből kizárással

Miután hozzárendelt egy szabályzatkezdeményezést egy adott hely megköveteléséhez, a rendszer megtagadja a másik helyen létrehozott erőforrásokat. Ebben a szakaszban végigvezeti egy erőforrás létrehozására irányuló megtagadott kérés feloldásán egy kivétel egyetlen erőforráscsoporton való létrehozásával. A kizárás megakadályozza a szabályzat (vagy kezdeményezés) érvényesítését az adott erőforráscsoporton. Az alábbi példában bármely hely engedélyezve van a kizárt erőforráscsoportban. A kizárás vonatkozhat egy előfizetésre, egy erőforráscsoportra vagy egy egyéni erőforrásra.

Feljegyzés

A szabályzatok kivétele is használható, ha kihagyja az erőforrás kiértékelését. További információ: Hatókör az Azure Policyban.

A hozzárendelt házirend vagy kezdeményezés által megakadályozott üzemelő példányok az üzemelő példány által megcélzott erőforráscsoportban tekinthetők meg: Válassza ki az üzemelő példányokat a lap bal oldalán, majd válassza ki a sikertelen üzembe helyezés üzembehelyezési nevét . Az elutasított erőforrás Tiltott állapotúként jelenik meg a listában. Az erőforrást megtagadó szabályzat vagy kezdeményezés és hozzárendelés meghatározásához válassza a Sikertelen elemet. Kattintson ide a részletekért –> az Üzembe helyezés áttekintése lapon. A lap jobb oldalán megnyílik egy ablak a hibára vonatkozó információkkal. A Hiba részletei területen találhatók a kapcsolódó szabályzatobjektumok grafikus felhasználói felületei.

Képernyőkép egy sikertelen üzembe helyezésről, amelyet egy szabályzat-hozzárendelés megtagadott.

Az Azure Policy lapon: Válassza a Megfelelőség lehetőséget a lap bal oldalán, és válassza a Biztonságos házirend kezdeményezés lekérése lehetőséget. Ezen a lapon megnő a letiltott erőforrások megtagadási száma. Az Események lapon láthatók a szabályzatdefiníció által elutasított erőforrás létrehozásának vagy üzembe helyezésének részletei.

Képernyőkép az Események lapról és a szabályzat eseményeinek részleteiről a Kezdeményezés megfelelőségi oldalán.

Ebben a példában Trent Baker, a Contoso egyik sr. virtualizálási szakembere szükséges munkát végzett. Helyet kell adnunk Trentnek egy kivételhez. Hozzon létre egy új erőforráscsoportot( LocationsExcludeded), és a következő lépésben adjon neki kivételt ebben a szabályzat-hozzárendelésben.

Hozzárendelés frissítése egy kizárással

  1. A Létrehozás területen válassza a Hozzárendelések elemet az Azure Policy oldal bal oldalán.

  2. Tallózással keresse meg az összes szabályzat-hozzárendelést, és nyissa meg a Biztonságos házirend-hozzárendelés lekérése parancsot.

  3. A Kizárás beállításához jelölje ki a három pontot, és válassza ki a kizárni kívánt erőforráscsoportot, a LocationsExcludeded ebben a példában. Válassza a Hozzáadás a kijelölt hatókörhöz lehetőséget, majd válassza a Mentés lehetőséget.

    Képernyőkép a Kezdeményezés hozzárendelése lapon található Kizárások lehetőségről, amely egy kizárt erőforráscsoportot ad hozzá a szabályzat-hozzárendeléshez.

    Feljegyzés

    A szabályzatdefiníciótól és annak hatásától függően a kivétel a hozzárendelés hatókörén belüli erőforráscsoport adott erőforrásaira is vonatkozhat. Mivel ebben az oktatóanyagban megtagadási effektust használtak, nem lenne értelme a kizárást egy már létező erőforrásra beállítani.

  4. Válassza a Véleményezés+ mentés, majd a Mentés lehetőséget.

Ebben a szakaszban a megtagadott kérést úgy oldotta meg, hogy egy kivételt hozott létre egyetlen erőforráscsoporton.

Az erőforrások eltávolítása

Ha végzett az oktatóanyag erőforrásaival, az alábbi lépésekkel törölheti a fent létrehozott szabályzat-hozzárendeléseket vagy definíciókat:

  1. Az Azure Policy oldal bal oldalán válassza a Definíciók (vagy Hozzárendelések , ha egy feladatot szeretne törölni) lehetőséget a Létrehozás területen.

  2. Keresse meg az eltávolítani kívánt új kezdeményezést vagy szabályzatdefiníciót (vagy hozzárendelést).

  3. Kattintson a jobb gombbal a sorra, vagy a bal gombbal a definíció (vagy a hozzárendelés) mellett található három pontra, majd a Definíció törlése (vagy a Hozzárendelés törlése) parancsra.

Áttekintés

Ebben az oktatóanyagban sikeresen elvégezte a következőket:

  • Hozzárendelt egy szabályzatot egy, a jövőben létrehozandó erőforrásokra vonatkozó feltétel kikényszerítésére
  • Létrehozott és hozzárendelt egy kezdeményezési definíciót több erőforrás megfelelőségének nyomon követése céljából
  • Feloldott egy nem megfelelő vagy elutasított erőforrást
  • Megvalósított egy új szabályzatot a vállalaton belül

Következő lépések

A szabályzatdefiníciók szerkezetéről szóló további információkért lásd az alábbi cikket:

Azure szabályzatdefiníciók struktúrája