Oktatóanyag: Erőforrástípusok letiltása a felhőkörnyezetben
A felhőszabályozás egyik népszerű célja, hogy korlátozza a környezetben engedélyezett erőforrástípusokat. A vállalkozások számos motivációval rendelkeznek az erőforrástípus-korlátozások mögött. Előfordulhat például, hogy az erőforrástípusok költségesek, vagy megfelelnek az üzleti szabványoknak és stratégiáknak. Ahelyett, hogy számos szabályzatot használnál az egyes erőforrástípusokhoz, az Azure Policy két beépített szabályzatot kínál a cél eléréséhez:
Név (Azure Portal) |
Leírás | Hatály | Verzió (GitHub) |
---|---|---|---|
Engedélyezett erőforrástípusok | Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető erőforrástípusok megadását. Ez a szabályzat csak a címkéket és a helyet támogató erőforrástípusokat érinti. Az összes erőforrás korlátozásához duplikálja ezt a házirendet, és módosítsa a "mód" beállítást "All" (Összes) módra. | elutasítás | 1.0.0 |
Nem engedélyezett erőforrástípusok | Korlátozza, hogy mely erőforrástípusok helyezhetők üzembe a környezetben. Az erőforrástípusok korlátozása csökkentheti a környezet összetettségét és támadási felületét, miközben segít a költségek kezelésében is. A megfelelőségi eredmények csak a nem megfelelő erőforrások esetében jelennek meg. | Naplózás, megtagadás, letiltva | 2.0.0 |
Ebben az oktatóanyagban a Nem engedélyezett erőforrástípusok szabályzatot alkalmazza, és nagy léptékben kezeli az erőforrástípusokat a Microsoft Azure Portalon.
Előfeltételek
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
A szabályzatdefiníció hozzárendelése
Az erőforrástípusok letiltásához első lépésként rendelje hozzá a Nem engedélyezett erőforrástípusok szabályzatdefinícióját .
Nyissa meg a Nem engedélyezett erőforrástípusokat az Azure Portalon.
Válassza a Lap tetején található Hozzárendelés gombot.
Az Alapszintű beállítások lapon állítsa be a hatókört a három pont kiválasztásával, valamint egy felügyeleti csoport, előfizetés vagy erőforráscsoport kiválasztásával. Győződjön meg arról, hogy a kijelölt hatókör legalább egy alhatókörrel rendelkezik. Ezután kattintson a Kiválasztás gombra a Hatókör oldal alján.
Ebben a példában a Contoso előfizetést használjuk.
Feljegyzés
Ha ezt a szabályzatdefiníciót a gyökérszintű felügyeleti csoport hatóköréhez rendeli, a portál észlelheti a nem engedélyezett erőforrástípusokat, és letilthatja őket a Minden szolgáltatás nézetben, hogy a portál felhasználói tisztában legyenek a korlátozással, mielőtt letiltott erőforrást próbálnak üzembe helyezni.
Az erőforrások kizárhatóak a Hatókör alapján. A Kizárások alacsonyabb szinten kezdődnek, mint a Hatókör szintje. A Kizárások megadása nem kötelező, ezért most hagyja üresen a mezőt.
A hozzárendelés neve automatikusan ki lesz töltve a kiválasztott szabályzatdefiníció nevével, de módosíthatja. A szabályzat-hozzárendelés részleteinek megadásához opcionális leírást is hozzáadhat.
Hagyja engedélyezve a szabályzatkényszerítést. Ha le van tiltva, ez a beállítás lehetővé teszi a szabályzat kimenetelének tesztelését az effektus aktiválása nélkül. További információ: kényszerítési mód.
A hozzárendelt adatok automatikusan kitöltődnek attól függően, hogy ki van bejelentkezve. A mező kitöltése nem kötelező, megadhatók egyéni értékek.
Válassza a Paraméterek lapot a varázsló tetején. Ez az oktatóanyag kihagyja a Speciális lapot.
A Nem engedélyezett erőforrástípusok paraméter esetében a legördülő menüben keressen és válassza ki azokat az erőforrástípusokat, amelyeket nem szabad engedélyezni a felhőkörnyezetben.
Ez a szabályzatdefiníció nem rendelkezik azokkal
modify
vagydeployIfNotExists
effektusokkal, ezért nem támogatja a szervizelési feladatokat. Ebben az oktatóanyagban hagyja ki a Szervizelés lapot.Válassza a Nemmegfeleltségi üzenetek lapot a varázsló tetején.
Állítsa a nemmegfeleltségi üzenetet erre az erőforrástípusra. Ez az egyéni üzenet akkor jelenik meg, ha egy erőforrást megtagadnak, vagy nem megfelelő erőforrásokat keresnek a rendszeres kiértékelés során.
Válassza a Véleményezés + létrehozás lapot a varázsló tetején.
Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget a lap alján.
Letiltott erőforrástípusok megtekintése az Azure Portalon
Ez a lépés csak akkor érvényes, ha a szabályzat a gyökérszintű felügyeleti csoport hatókörében lett hozzárendelve.
Most, hogy hozzárendelt egy beépített szabályzatdefiníciót, lépjen a Minden szolgáltatás elemre. Az Azure Portal tisztában van a házirend-hozzárendelésben nem engedélyezett erőforrástípusokkal, és letiltja őket a Minden szolgáltatás lapon. A Létrehozás beállítás nem érhető el letiltott erőforrástípusok esetén.
Feljegyzés
Ha hozzárendeli ezt a szabályzatdefiníciót a gyökérszintű felügyeleti csoporthoz, a felhasználók a következő értesítést fogják látni, amikor első alkalommal jelentkeznek be, vagy ha a házirend megváltozik a bejelentkezés után:
A rendszergazda módosította a házirendet: A rendszergazda módosította a fiók szabályzatait. Javasoljuk, hogy frissítse a portált a frissített szabályzatok használatához.
Kivétel létrehozása
Tegyük fel, hogy egy alhatókör számára engedélyezni kell, hogy a házirend letiltsa az erőforrástípusokat. Hozzunk létre egy kivételt ebben a hatókörben, hogy az egyébként korlátozott erőforrások ott is üzembe helyezhetők legyenek.
Figyelmeztetés
Ha ezt a szabályzatdefiníciót a gyökérszintű felügyeleti csoport hatóköréhez rendeli, az Azure Portal nem tudja észlelni az alacsonyabb szintű hatókörök kivételeit. A szabályzat-hozzárendelés által nem engedélyezett erőforrások le lesznek tiltva a Minden szolgáltatás listában, és a Létrehozás lehetőség nem érhető el. A kivétel alá eső hatókörben azonban létrehozhat erőforrásokat olyan ügyfelekkel, mint az Azure CLI, az Azure PowerShell vagy az Azure Resource Manager-sablonok.
A Létrehozás területen válassza a Hozzárendelések elemet az Azure Policy oldal bal oldalán.
Keresse meg a létrehozott szabályzat-hozzárendelést.
Válassza a Kivétel létrehozása gombot a lap tetején.
Az Alapszintű beállítások lapon válassza ki a Kivétel hatókört, amely az a subscope, amelynek engedélyeznie kell, hogy a házirend-hozzárendelés által korlátozott erőforrások legyenek korlátozva.
Töltse ki a kivétel nevét a kívánt szöveggel, és hagyja meg a Mentesség kategóriát a mentesség alapértelmezett értékeként. Ne váltson a mentesség lejárati beállítására szolgáló kapcsolóra, mert ez a kivétel nem lesz beállítva lejárati értékre. Igény szerint adjon hozzá egy kivétel leírását, és válassza a Véleményezés + létrehozás lehetőséget.
Ez az oktatóanyag áthalad a Speciális lapon. A Véleményezés + létrehozás lapon válassza a Létrehozás lehetőséget.
A kivétel megtekintéséhez válassza a Kivételek lehetőségetaz Azure Policy oldal bal oldalán, a Szerzői műveletek területen.
Most már a subscope is az erőforrástípusokat tiltja a szabályzat.
Az erőforrások eltávolítása
Ha végzett az oktatóanyag erőforrásaival, az alábbi lépésekkel törölheti az oktatóanyagban létrehozott szabályzat-hozzárendeléseket vagy definíciókat:
Az Azure Policy oldal bal oldalán válassza a Definíciók (vagy Hozzárendelések , ha egy feladatot szeretne törölni) lehetőséget a Létrehozás területen.
Keresse meg az eltávolítani kívánt új kezdeményezést vagy szabályzatdefiníciót (vagy hozzárendelést).
Kattintson a jobb gombbal a sorra, vagy a bal gombbal a definíció (vagy a hozzárendelés) mellett található három pontra, majd a Definíció törlése (vagy a Hozzárendelés törlése) parancsra.
Áttekintés
Ebben az oktatóanyagban sikeresen elvégezte a következőket:
- A Nem engedélyezett beépített erőforrástípusok szabályzat hozzárendelése a nem engedélyezett erőforrástípusok létrehozásának megtagadásához
- Kivétel létrehozása ehhez a szabályzat-hozzárendeléshez egy almappában
Ezzel a beépített szabályzattal olyan erőforrástípusokat adott meg, amelyek nem engedélyezettek. A másik, szigorúbb megközelítés az engedélyezett erőforrástípusok beépített szabályzattal engedélyezett erőforrástípusainak megadása.
Feljegyzés
Az Azure Portal All Services szolgáltatása csak akkor tiltja le az engedélyezett erőforrástípus-szabályzatban nem megadott erőforrásokat, ha a mode
szabályzat be van állítvaAll
, és a szabályzat a gyökérszintű felügyeleti csoportban van hozzárendelve. Ennek az az oka, hogy minden erőforrástípust ellenőriz függetlenül és tags
locations
. Ha azt szeretné, hogy a portál rendelkezzen ezzel a viselkedéssel, duplikálja az Engedélyezett erőforrástípusok beépített szabályzatot, és módosítsa azt mode
Indexed
a következőre All
, majd rendelje hozzá a gyökérszintű felügyeleti csoport hatóköréhez.
Következő lépések
A szabályzatdefiníciók, hozzárendelések és kivételek struktúrájáról az alábbi cikkekben olvashat bővebben:
Azure Policy-definíciós struktúraAzure Policy-hozzárendelési struktúraAzure Policy-kivételi struktúra
A beépített szabályzatminták teljes listájának megtekintéséhez tekintse meg ezt a cikket: