Oktatóanyag: Erőforrástípusok letiltása a felhőkörnyezetben

  • Cikk

A felhőszabályozás egyik népszerű célja, hogy korlátozza a környezetben engedélyezett erőforrástípusokat. A vállalkozások számos motivációval rendelkeznek az erőforrástípus-korlátozások mögött. Előfordulhat például, hogy az erőforrástípusok költségesek, vagy megfelelnek az üzleti szabványoknak és stratégiáknak. Ahelyett, hogy számos szabályzatot használnál az egyes erőforrástípusokhoz, az Azure Policy két beépített szabályzatot kínál a cél eléréséhez:

Név
(Azure Portal)		 Leírás Hatály Verzió
(GitHub)
Engedélyezett erőforrástípusok Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető erőforrástípusok megadását. Ez a szabályzat csak a címkéket és a helyet támogató erőforrástípusokat érinti. Az összes erőforrás korlátozásához duplikálja ezt a házirendet, és módosítsa a "mód" beállítást "All" (Összes) módra. elutasítás 1.0.0
Nem engedélyezett erőforrástípusok Korlátozza, hogy mely erőforrástípusok helyezhetők üzembe a környezetben. Az erőforrástípusok korlátozása csökkentheti a környezet összetettségét és támadási felületét, miközben segít a költségek kezelésében is. A megfelelőségi eredmények csak a nem megfelelő erőforrások esetében jelennek meg. Naplózás, megtagadás, letiltva 2.0.0

Ebben az oktatóanyagban a Nem engedélyezett erőforrástípusok szabályzatot alkalmazza, és nagy léptékben kezeli az erőforrástípusokat a Microsoft Azure Portalon.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A szabályzatdefiníció hozzárendelése

Az erőforrástípusok letiltásához első lépésként rendelje hozzá a Nem engedélyezett erőforrástípusok szabályzatdefinícióját .

  1. Nyissa meg a Nem engedélyezett erőforrástípusokat az Azure Portalon.

    Screenshot of definition details screen for 'Not allowed resource types' policy.

  2. Válassza a Lap tetején található Hozzárendelés gombot.

  3. Az Alapszintű beállítások lapon állítsa be a hatókört a három pont kiválasztásával, valamint egy felügyeleti csoport, előfizetés vagy erőforráscsoport kiválasztásával. Győződjön meg arról, hogy a kijelölt hatókör legalább egy alhatókörrel rendelkezik. Ezután kattintson a Kiválasztás gombra a Hatókör oldal alján.

    Ebben a példában a Contoso előfizetést használjuk.

    Feljegyzés

    Ha ezt a szabályzatdefiníciót a gyökérszintű felügyeleti csoport hatóköréhez rendeli, a portál észlelheti a nem engedélyezett erőforrástípusokat, és letilthatja őket a Minden szolgáltatás nézetben, hogy a portál felhasználói tisztában legyenek a korlátozással, mielőtt letiltott erőforrást próbálnak üzembe helyezni.

  4. Az erőforrások kizárhatóak a Hatókör alapján. A Kizárások alacsonyabb szinten kezdődnek, mint a Hatókör szintje. A Kizárások megadása nem kötelező, ezért most hagyja üresen a mezőt.

  5. A hozzárendelés neve automatikusan ki lesz töltve a kiválasztott szabályzatdefiníció nevével, de módosíthatja. A szabályzat-hozzárendelés részleteinek megadásához opcionális leírást is hozzáadhat.

  6. Hagyja engedélyezve a szabályzatkényszerítést. Ha le van tiltva, ez a beállítás lehetővé teszi a szabályzat kimenetelének tesztelését az effektus aktiválása nélkül. További információ: kényszerítési mód.

  7. A hozzárendelt adatok automatikusan kitöltődnek attól függően, hogy ki van bejelentkezve. A mező kitöltése nem kötelező, megadhatók egyéni értékek.

  8. Válassza a Paraméterek lapot a varázsló tetején. Ez az oktatóanyag kihagyja a Speciális lapot.

  9. A Nem engedélyezett erőforrástípusok paraméter esetében a legördülő menüben keressen és válassza ki azokat az erőforrástípusokat, amelyeket nem szabad engedélyezni a felhőkörnyezetben.

  10. Ez a szabályzatdefiníció nem rendelkezik azokkal modify vagy deployIfNotExists effektusokkal, ezért nem támogatja a szervizelési feladatokat. Ebben az oktatóanyagban hagyja ki a Szervizelés lapot.

  11. Válassza a Nemmegfeleltségi üzenetek lapot a varázsló tetején.

  12. Állítsa a nemmegfeleltségi üzenetet erre az erőforrástípusra. Ez az egyéni üzenet akkor jelenik meg, ha egy erőforrást megtagadnak, vagy nem megfelelő erőforrásokat keresnek a rendszeres kiértékelés során.

  13. Válassza a Véleményezés + létrehozás lapot a varázsló tetején.

  14. Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget a lap alján.

Letiltott erőforrástípusok megtekintése az Azure Portalon

Ez a lépés csak akkor érvényes, ha a szabályzat a gyökérszintű felügyeleti csoport hatókörében lett hozzárendelve.

Most, hogy hozzárendelt egy beépített szabályzatdefiníciót, lépjen a Minden szolgáltatás elemre. Az Azure Portal tisztában van a házirend-hozzárendelésben nem engedélyezett erőforrástípusokkal, és letiltja őket a Minden szolgáltatás lapon. A Létrehozás beállítás nem érhető el letiltott erőforrástípusok esetén.

Feljegyzés

Ha hozzárendeli ezt a szabályzatdefiníciót a gyökérszintű felügyeleti csoporthoz, a felhasználók a következő értesítést fogják látni, amikor első alkalommal jelentkeznek be, vagy ha a házirend megváltozik a bejelentkezés után:

A rendszergazda módosította a házirendet: A rendszergazda módosította a fiók szabályzatait. Javasoljuk, hogy frissítse a portált a frissített szabályzatok használatához.

Screenshot of disallowed resources in All Services blade.

Kivétel létrehozása

Tegyük fel, hogy egy alhatókör számára engedélyezni kell, hogy a házirend letiltsa az erőforrástípusokat. Hozzunk létre egy kivételt ebben a hatókörben, hogy az egyébként korlátozott erőforrások ott is üzembe helyezhetők legyenek.

Figyelmeztetés

Ha ezt a szabályzatdefiníciót a gyökérszintű felügyeleti csoport hatóköréhez rendeli, az Azure Portal nem tudja észlelni az alacsonyabb szintű hatókörök kivételeit. A szabályzat-hozzárendelés által nem engedélyezett erőforrások le lesznek tiltva a Minden szolgáltatás listában, és a Létrehozás lehetőség nem érhető el. A kivétel alá eső hatókörben azonban létrehozhat erőforrásokat olyan ügyfelekkel, mint az Azure CLI, az Azure PowerShell vagy az Azure Resource Manager-sablonok.

  1. A Létrehozás területen válassza a Hozzárendelések elemet az Azure Policy oldal bal oldalán.

  2. Keresse meg a létrehozott szabályzat-hozzárendelést.

  3. Válassza a Kivétel létrehozása gombot a lap tetején.

  4. Az Alapszintű beállítások lapon válassza ki a Kivétel hatókört, amely az a subscope, amelynek engedélyeznie kell, hogy a házirend-hozzárendelés által korlátozott erőforrások legyenek korlátozva.

  5. Töltse ki a kivétel nevét a kívánt szöveggel, és hagyja meg a Mentesség kategóriát a mentesség alapértelmezett értékeként. Ne váltson a mentesség lejárati beállítására szolgáló kapcsolóra, mert ez a kivétel nem lesz beállítva lejárati értékre. Igény szerint adjon hozzá egy kivétel leírását, és válassza a Véleményezés + létrehozás lehetőséget.

  6. Ez az oktatóanyag áthalad a Speciális lapon. A Véleményezés + létrehozás lapon válassza a Létrehozás lehetőséget.

  7. A kivétel megtekintéséhez válassza a Kivételek lehetőségetaz Azure Policy oldal bal oldalán, a Szerzői műveletek területen.

Most már a subscope is az erőforrástípusokat tiltja a szabályzat.

Az erőforrások eltávolítása

Ha végzett az oktatóanyag erőforrásaival, az alábbi lépésekkel törölheti az oktatóanyagban létrehozott szabályzat-hozzárendeléseket vagy definíciókat:

  1. Az Azure Policy oldal bal oldalán válassza a Definíciók (vagy Hozzárendelések , ha egy feladatot szeretne törölni) lehetőséget a Létrehozás területen.

  2. Keresse meg az eltávolítani kívánt új kezdeményezést vagy szabályzatdefiníciót (vagy hozzárendelést).

  3. Kattintson a jobb gombbal a sorra, vagy a bal gombbal a definíció (vagy a hozzárendelés) mellett található három pontra, majd a Definíció törlése (vagy a Hozzárendelés törlése) parancsra.

Áttekintés

Ebben az oktatóanyagban sikeresen elvégezte a következőket:

  • A Nem engedélyezett beépített erőforrástípusok szabályzat hozzárendelése a nem engedélyezett erőforrástípusok létrehozásának megtagadásához
  • Kivétel létrehozása ehhez a szabályzat-hozzárendeléshez egy almappában

Ezzel a beépített szabályzattal olyan erőforrástípusokat adott meg, amelyek nem engedélyezettek. A másik, szigorúbb megközelítés az engedélyezett erőforrástípusok beépített szabályzattal engedélyezett erőforrástípusainak megadása.

Feljegyzés

Az Azure Portal All Services szolgáltatása csak akkor tiltja le az engedélyezett erőforrástípus-szabályzatban nem megadott erőforrásokat, ha a mode szabályzat be van állítvaAll, és a szabályzat a gyökérszintű felügyeleti csoportban van hozzárendelve. Ennek az az oka, hogy minden erőforrástípust ellenőriz függetlenül és tagslocations. Ha azt szeretné, hogy a portál rendelkezzen ezzel a viselkedéssel, duplikálja az Engedélyezett erőforrástípusok beépített szabályzatot, és módosítsa azt modeIndexed a következőre All, majd rendelje hozzá a gyökérszintű felügyeleti csoport hatóköréhez.

Következő lépések

A szabályzatdefiníciók, hozzárendelések és kivételek struktúrájáról az alábbi cikkekben olvashat bővebben:

Azure Policy-definíciós struktúraAzure Policy-hozzárendelési struktúraAzure Policy-kivételi struktúra

A beépített szabályzatminták teljes listájának megtekintéséhez tekintse meg ezt a cikket:

Azure szabályzatdefiníciók struktúrája