Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Gambaran umum ini menjelaskan bagaimana Azure Policy membantu menegakkan standar organisasi dan menilai kepatuhan dalam skala besar. Melalui dasbor kepatuhannya, ia menyediakan tampilan agregat untuk mengevaluasi keadaan lingkungan secara menyeluruh, dengan kemampuan untuk menelusuri ke granularitas per sumber daya, per kebijakan dengan mendetail. Ini juga membantu untuk membawa sumber daya Anda ke kepatuhan melalui remediasi massal untuk sumber daya yang sudah ada dan remediasi otomatis untuk sumber daya baru.
Catatan
Untuk informasi selengkapnya tentang remediasi, lihat Memulihkan sumber daya yang tidak sesuai dengan Azure Policy.
Penggunaan umum Azure Policy meliputi menerapkan tata kelola untuk konsistensi sumber daya, kepatuhan terhadap peraturan, keamanan, biaya, dan manajemen. Definisi kebijakan untuk kasus penggunaan umum ini sudah tersedia sebagai bawaan di lingkungan Azure Anda untuk membantu Anda dalam memulai.
Beberapa tindakan tata kelola yang berguna yang dapat Anda berlakukan dengan Azure Policy meliputi:
- Pastikan tim Anda menyebarkan sumber daya Azure hanya ke wilayah yang diizinkan.
- Terapkan aplikasi tag taksonomi yang konsisten.
- Memerlukan sumber daya untuk mengirim log diagnostik ke ruang kerja Analitik Log.
Penting untuk dikenali bahwa dengan diperkenalkannya Azure Arc, Anda dapat memperluas tata kelola berbasis kebijakan di berbagai penyedia cloud dan bahkan ke pusat data lokal Anda.
Semua data dan objek Azure Policy dienkripsi saat tidak digunakan. Untuk informasi selengkapnya, lihat Enkripsi data Azure saat tidak aktif.
Gambaran Umum
Azure Policy mengevaluasi sumber daya dan tindakan di Azure dengan membandingkan properti sumber daya tersebut dengan aturan bisnis. Aturan bisnis ini, yang dijelaskan dalam format JSON, dikenal sebagai definisi kebijakan. Untuk menyederhanakan manajemen, beberapa aturan bisnis dapat dikelompokkan bersama untuk membentuk inisiatif kebijakan, juga disebut sebagai policySet.
Setelah aturan bisnis Anda terbentuk, definisi atau inisiatif kebijakan ditetapkan ke cakupan sumber daya apa pun yang didukung Azure. Misalnya, grup manajemen, langganan, grup sumber daya, atau sumber daya individual. Penugasan berlaku untuk semua sumber daya dalam Cakupan Resource Manager dari penugasan tersebut. Subcabang dapat dikecualikan, jika diperlukan. Untuk informasi selengkapnya, lihat Cakupan dalam Azure Policy.
Azure Policy menggunakan format JSON untuk membentuk logika yang digunakan oleh evaluasi untuk menentukan apakah sumber daya sesuai atau tidak. Definisi termasuk metadata dan aturan kebijakan. Aturan yang didefinisikan dapat menggunakan fungsi, parameter, operator logika, kondisi, dan alias properti untuk mencocokkan skenario yang sama dengan yang Anda inginkan. Aturan kebijakan menentukan sumber daya mana dalam cakupan penugasan yang dievaluasi.
Memahami hasil evaluasi
Sumber daya dievaluasi pada waktu tertentu selama siklus hidup sumber daya, siklus hidup penugasan kebijakan, dan untuk evaluasi kepatuhan yang sedang berlangsung secara teratur. Berikut ini adalah waktu atau peristiwa yang menyebabkan sumber daya dievaluasi:
- Pada saat sumber daya dibuat atau diperbarui dalam suatu cakupan yang memiliki penetapan kebijakan.
- Cakupan mendapatkan penugasan baru untuk sebuah kebijakan atau inisiatif.
- Kebijakan atau inisiatif yang sudah ditetapkan ke dalam ruang lingkup diperbarui.
- Siklus evaluasi kepatuhan standar yang terjadi setiap 24 jam sekali.
Untuk informasi rinci tentang kapan dan bagaimana evaluasi kebijakan terjadi, lihat Pemicu evaluasi.
Mengontrol respons ke evaluasi
Aturan bisnis untuk menangani sumber daya yang tidak sesuai sangat bervariasi di antara organisasi. Contoh bagaimana organisasi menghendaki platform merespons sumber daya yang tidak sesuai meliputi:
- Tolak perubahan sumber daya.
- Catat perubahan ke sumber daya.
- Ubah sumber daya sebelum perubahan.
- Ubah sumber daya setelah perubahan.
- Menyebarkan sumber daya terkait yang sesuai.
- Blokir tindakan pada sumber daya.
Azure Policy memungkinkan setiap respons bisnis ini melalui penerapan efek. Efek diatur dalam bagian aturan kebijakan dari definisi kebijakan.
Memulihkan sumber daya yang tidak sesuai
Meskipun efek ini terutama mempengaruhi sumber daya saat sumber daya dibuat atau diperbarui, Azure Policy juga mendukung saat berurusan dengan sumber daya yang tidak sesuai yang sudah ada tanpa perlu mengubah sumber daya tersebut. Untuk informasi selengkapnya tentang membuat sumber daya yang ada sesuai, lihat Memulihkan sumber daya yang tidak sesuai dengan Azure Policy.
Memulai
Azure Policy dan Azure RBAC
Ada beberapa perbedaan utama antara Azure Policy dan kontrol akses berbasis peran Azure (Azure RBAC). Azure Policy mengevaluasi status dengan memeriksa properti pada sumber daya yang diwakili di Resource Manager dan properti beberapa Penyedia Sumber. Azure Policy memastikan bahwa status sumber daya mematuhi aturan bisnis Anda tanpa khawatir siapa yang melakukan perubahan atau siapa yang memiliki izin untuk melakukan perubahan. Azure Policy melalui efek DenyAction juga dapat memblokir tindakan tertentu pada sumber daya. Beberapa sumber daya Azure Policy, seperti definisi kebijakan, definisi inisiatif, dan tugas, dapat dilihat oleh semua pengguna. Desain ini memungkinkan transparansi kepada semua pengguna dan layanan terkait aturan kebijakan apa yang ditetapkan di lingkungan mereka.
Azure RBAC berfokus pada pengelolaan tindakan pengguna pada cakupan yang berbeda. Jika kontrol tindakan diperlukan berdasarkan informasi pengguna, maka Azure RBAC adalah alat yang benar untuk digunakan. Meskipun seseorang memiliki akses untuk melakukan sebuah tindakan, jika hasilnya adalah sumber daya yang tidak sesuai, Azure Policy masih memblokir pembuatan atau pembaruan.
Kombinasi Azure RBAC dan Azure Policy menyediakan kontrol cakupan penuh di Azure.
Izin Azure RBAC pada Kebijakan Azure
Azure Policy memiliki bermacam izin, yang dikenal sebagai operasi, di dua Penyedia Sumber Daya.
Banyak peran bawaan yang memberikan izin ke sumber daya Azure Policy. Peran Kontributor Kebijakan Sumber Daya mencakup sebagian besar operasi Azure Policy. Pemilik memiliki hak penuh. Baik Kontributor maupun Pembaca memiliki akses ke semua operasi baca Azure Policy.
Kontributor mungkin memicu remediasi sumber daya, tetapi tidak dapat membuat atau memperbarui definisi dan penugasan.
Administrator Akses Pengguna diperlukan untuk memberikan izin yang diperlukan kepada identitas terkelola dalam penetapan di deployIfNotExists atau modify.
Catatan
Semua objek Kebijakan, termasuk definisi, inisiatif, dan penugasan, dapat dibaca oleh semua peran di dalam cakupannya. Misalnya, penetapan Kebijakan yang ditetapkan untuk langganan Azure dapat dibaca oleh semua pemegang peran pada lingkup langganan dan di bawahnya.
Jika tidak ada peran bawaan yang memiliki izin yang diperlukan, buat peran kustom.
Operasi Azure Policy dapat memiliki efek signifikan pada lingkungan Azure Anda. Hanya tetapkan sekumpulan izin minimum yang diperlukan untuk melakukan tugas dan hanya memberikan izin ini kepada pengguna yang memerlukan izin.
Catatan
Identitas terkelola dari penugasan kebijakan deployIfNotExists atau modify memerlukan izin yang cukup untuk membuat atau memperbarui sumber daya yang ditargetkan. Untuk informasi selengkapnya, lihat Mengonfigurasi definisi kebijakan.
Persyaratan izin khusus untuk Azure Policy dengan Azure Virtual Network Manager
Azure Virtual Network Manager (pratinjau) memungkinkan Anda menerapkan kebijakan manajemen dan keamanan yang konsisten ke beberapa jaringan virtual Azure di seluruh infrastruktur cloud Anda. Grup dinamis Azure Virtual Network Manager (AVNM) menggunakan definisi Azure Policy untuk mengevaluasi keanggotaan jaringan virtual dalam grup tersebut.
Untuk membuat, mengedit, atau menghapus kebijakan grup dinamis Azure Virtual Network Manager, Anda memerlukan:
- Membaca dan menulis izin Azure RBAC ke kebijakan dasar
- Izin Azure RBAC untuk bergabung dengan grup jaringan. Otorisasi Administrator Klasik tidak didukung.
Izin penyedia sumber daya yang diperlukan adalah Microsoft.Network/networkManagers/networkGroups/join/action.
Penting
Untuk memodifikasi grup dinamis AVNM, Anda harus diberikan akses melalui penetapan peran Azure RBAC saja. Administrator Klasik atau otorisasi warisan tidak didukung. Jika akun Anda hanya diberi peran langganan Co-Administrator, Anda tidak akan memiliki izin pada grup dinamis AVNM.
Sumber daya yang dicakup oleh Azure Policy
Meskipun kebijakan dapat ditetapkan di tingkat grup manajemen, hanya sumber daya di tingkat langganan atau grup sumber daya yang dievaluasi.
Untuk penyedia sumber tertentu seperti Konfigurasi mesin, Azure Kubernetes Service, dan Azure Key Vault, ada integrasi yang lebih dalam untuk mengelola pengaturan dan objek. Untuk mengetahui lebih lanjut, buka mode Penyedia Sumber Daya.
rekomendasiuntuk mengelola kebijakan
Berikut adalah beberapa petunjuk dan tips yang perlu diingat:
Mulailah dengan
auditefek atauauditIfNotExistsalih-alih efek penegakan (deny,modify, )deployIfNotExistsuntuk melacak bagaimana definisi kebijakan Anda memengaruhi sumber daya di lingkungan Anda. Jika Anda sudah memiliki skrip untuk menskalakan otomatis aplikasi Anda, menetapkan efek penegakan mungkin menghambat tugas otomatisasi tersebut yang sudah ada.Pertimbangkan hierarki organisasi saat Anda membuat definisi dan tugas. Sebaiknya buat definisi di tingkat yang lebih tinggi seperti grup manajemen atau tingkat langganan. Kemudian, buat penugasan di tingkat anak berikutnya. Jika Anda membuat definisi di grup manajemen, penugasan dapat dicakup ke grup langganan atau sumber daya dalam grup manajemen tersebut.
Sebaiknya buat dan tetapkan definisi inisiatif meskipun dimulai dengan satu definisi kebijakan. Metode ini memungkinkan Anda menambahkan definisi kebijakan ke inisiatif nanti tanpa meningkatkan jumlah tugas yang akan dikelola.
Misalnya, bayangkan Anda membuat kebijakan definisi kebijakanDefA dan menambahkannya ke inisiatif definisi inisiatifDefC. Jika nanti Anda membuat definisi kebijakan definisiKebijakanB dengan tujuan yang mirip dengan definisiKebijakanA, Anda dapat menambahkannya di bawah inisiatifDefC dan melacaknya bersama-sama.
Setelah Anda membuat penetapan inisiatif, definisi kebijakan yang ditambahkan ke inisiatif juga menjadi bagian dari penugasan inisiatif tersebut.
Ketika penugasan inisiatif dievaluasi, semua kebijakan dalam inisiatif tersebut juga dievaluasi. Jika Anda perlu mengevaluasi kebijakan secara individu, lebih baik untuk tidak memasukkannya dalam inisiatif.
Kelola sumber daya Azure Policy sebagai kode dengan tinjauan manual tentang perubahan definisi, inisiatif, dan penetapan kebijakan. Untuk mempelajari selengkapnya tentang pola dan alat yang disarankan, lihat Mendesain Azure Policy sebagai alur kerja Kode.
Objek Azure Policy
Objek termasuk definisi kebijakan, definisi inisiatif, dan penugasan.
Definisi kebijakan
Perjalanan untuk membuat dan menerapkan kebijakan di Azure Policy dimulai saat Anda membuat definisi kebijakan. Setiap definisi kebijakan memiliki kondisi yang diberlakukan. Selain itu, ia memiliki efek yang ditentukan yang terjadi jika syarat terpenuhi.
Dalam Azure Policy, kami menawarkan beberapa kebijakan bawaan yang tersedia secara default. Contohnya:
- SKU Akun Penyimpanan yang Diizinkan (Tolak): Menentukan apakah akun penyimpanan yang disebarkan berada dalam satu kumpulan ukuran SKU. Efeknya adalah untuk menolak semua akun penyimpanan yang tidak mematuhi kumpulan ukuran SKU yang ditentukan.
- Jenis Sumber Daya yang Diizinkan (Tolak): Menentukan jenis sumber daya yang dapat Anda sebarkan. Efeknya adalah untuk menolak semua sumber daya yang bukan merupakan bagian dari daftar yang telah ditentukan ini.
- Lokasi yang Diizinkan (Tolak): Membatasi lokasi yang tersedia untuk sumber daya baru. Efeknya digunakan untuk menerapkan persyaratan kepatuhan lokasi geografis Anda.
- SKU Komputer Virtual yang Diizinkan (Tolak): Menentukan seperangkat SKU komputer virtual yang dapat Anda sebarkan.
- Menambahkan tag ke sumber daya (Modifikasi): Menerapkan tag yang diperlukan dan nilai defaultnya jika permintaan penyebaran tidak menentukannya.
- Jenis sumber daya yang tidak diperbolehkan (Tolak): Mencegah daftar jenis sumber daya disebarkan.
Untuk menerapkan definisi kebijakan ini (definisi bawaan dan kustom), Anda perlu menetapkannya. Anda dapat menetapkan salah satu kebijakan ini melalui portal Microsoft Azure, PowerShell, atau Azure CLI.
Evaluasi kebijakan terjadi dengan beberapa tindakan berbeda, seperti penugasan kebijakan atau pembaruan kebijakan. Untuk daftar lengkapnya, lihat Pemicu evaluasi kebijakan.
Untuk mempelajari selengkapnya tentang struktur definisi kebijakan, tinjau dasar-dasar struktur definisi Azure Policy.
Parameter kebijakan membantu menyederhanakan manajemen kebijakan Anda dengan mengurangi jumlah definisi kebijakan yang harus Anda buat. Anda dapat menentukan parameter saat membuat definisi kebijakan agar lebih umum. Kemudian Anda dapat menggunakan kembali definisi kebijakan tersebut untuk skenario yang berbeda. Anda melakukannya dengan meneruskan nilai yang berbeda saat menetapkan definisi kebijakan. Misalnya, menentukan satu set lokasi untuk sebuah langganan.
Parameter ditentukan saat Anda membuat definisi kebijakan. Definisi parameter mencakup nama parameter dan nilai opsional. Misalnya, Anda dapat mendefinisikan parameter untuk kebijakan berjudul lokasi. Kemudian Anda dapat memberikan nilai yang berbeda seperti EastUS atau WestUS saat menetapkan kebijakan.
Untuk informasi selengkapnya tentang parameter kebijakan, lihat Parameter struktur definisi Azure Policy.
Definisi inisiatif
Definisi inisiatif adalah kumpulan definisi kebijakan yang disesuaikan untuk mencapai satu tujuan yang menyeluruh. Definisi inisiatif menyederhanakan pengelolaan dan penetapan definisi kebijakan. Mereka menyederhanakan dengan mengelompokkan serangkaian kebijakan sebagai satu item. Misalnya, Anda dapat membuat inisiatif berjudul Aktifkan Pemantauan di Microsoft Defender untuk Cloud, dengan tujuan untuk memantau semua rekomendasi keamanan yang tersedia di instans Microsoft Defender untuk Cloud Anda.
Catatan
SDK, seperti Azure CLI dan Azure PowerShell, menggunakan properti dan parameter bernama PolicySet untuk merujuk ke inisiatif.
Di bawah inisiatif ini, Anda akan memiliki definisi kebijakan seperti:
- Memantau SQL Database yang tidak terenkripsi di Microsoft Defender untuk Cloud - Untuk memantau database dan server SQL yang tidak terenkripsi.
- Memantau kerentanan sistem operasi di Microsoft Defender untuk Cloud - Untuk memantau server yang tidak memenuhi standar yang telah dikonfigurasi.
- Memantau Perlindungan Titik Akhir yang hilang di Microsoft Defender untuk Cloud - Untuk memantau server tanpa agen perlindungan titik akhir yang diinstal.
Seperti parameter kebijakan, parameter inisiatif membantu menyederhanakan manajemen inisiatif dengan mengurangi redundansi. Parameter inisiatif adalah parameter yang digunakan oleh definisi kebijakan dalam inisiatif.
Misalnya, dalam skenario berikut Anda memiliki definisi inisiatif initiativeC, dengan definisi kebijakan policyA dan policyB di mana masing-masing mengharapkan jenis parameter yang berbeda:
| Policy | Nama parameter | Jenis parameter | Catatan |
|---|---|---|---|
| policyA | allowedLocations |
array | Parameter ini mengharapkan daftar string untuk nilai karena jenis parameter didefinisikan sebagai array. |
| policyB | allowedSingleLocation |
string | Parameter ini mengharapkan satu kata untuk nilai karena jenis parameter didefinisikan sebagai string. |
Saat Anda menentukan parameter inisiatif untuk inisiatifC, Anda memiliki tiga opsi:
- Gunakan parameter definisi kebijakan dalam inisiatif ini: Dalam contoh ini,
allowedLocationsdanallowedSingleLocationmenjadi parameter inisiatif untuk inisiatifC. - Berikan nilai pada parameter definisi kebijakan di dalam definisi inisiatif ini. Dalam contoh ini, Anda dapat memberikan daftar lokasi ke parameter
allowedLocationsdan policyBallowedSingleLocation. Anda juga dapat memberikan nilai saat menetapkan inisiatif ini. - Berikan daftar opsi nilai yang bisa digunakan saat menetapkan inisiatif ini. Ketika Anda menetapkan inisiatif ini, parameter yang diwariskan dari definisi kebijakan di dalam inisiatif, hanya dapat memiliki nilai dari daftar yang telah disediakan ini.
Saat Anda membuat opsi nilai dalam definisi inisiatif, Anda tidak dapat memasukkan nilai yang berbeda selama penetapan inisiatif karena bukan bagian dari daftar.
Untuk mempelajari selengkapnya tentang struktur definisi inisiatif, tinjau struktur definisi inisiatif Azure Policy.
Penetapan
Penugasan adalah definisi kebijakan atau inisiatif yang ditetapkan ke cakupan tertentu. Rentang cakupan ini bisa dari grup manajemen hingga sumber daya individu. Istilah cakupan mengacu pada semua sumber daya, grup sumber daya, langganan, atau grup manajemen tempat definisi ditetapkan. Semua sumber daya anak mewarisi tugas. Desain ini berarti bahwa definisi yang diterapkan ke sebuah grup sumber daya juga diterapkan ke sumber daya dalam grup sumber daya tersebut. Namun, Anda dapat mengecualikan sebuah sub cakupan dari penugasan.
Misalnya, pada cakupan langganan, Anda dapat menetapkan definisi yang mencegah pembuatan sumber daya jaringan. Anda dapat mengecualikan grup sumber daya di dalam langganan yang ditujukan untuk infrastruktur jaringan. Anda kemudian memberikan akses ke grup sumber daya jaringan ini kepada pengguna yang Anda percayai dengan pembuatan sumber daya jaringan.
Dalam contoh lain, Anda mungkin ingin menetapkan definisi daftar yang diizinkan untuk jenis sumber daya pada tingkat grup manajemen. Kemudian Anda menetapkan kebijakan yang lebih permisif (memungkinkan lebih banyak jenis sumber daya) pada grup manajemen anak atau bahkan langsung pada langganan. Namun, contoh ini tidak akan berfungsi karena Azure Policy adalah sistem tolak yang bersifat eksplisit. Sebagai gantinya, Anda harus mengecualikan grup manajemen anak atau langganan dari penugasan tingkat grup manajemen. Kemudian, tetapkan definisi yang lebih permisif pada grup manajemen anak atau pada tingkat langganan. Jika ada penugasan yang mengakibatkan sumber daya ditolak, maka satu-satunya cara untuk mengizinkan sumber dayanya adalah dengan memodifikasi penugasan yang ditolak.
Penetapan kebijakan selalu menggunakan status terbaru dari definisi atau inisiatif yang ditetapkan saat mengevaluasi sumber daya. Jika definisi kebijakan yang ditetapkan diubah, semua penugasan yang ada dari definisi tersebut menggunakan logika yang diperbarui saat mengevaluasi.
Untuk informasi selengkapnya tentang mengatur penugasan melalui portal, lihat Membuat penugasan kebijakan untuk mengidentifikasi sumber daya yang tidak sesuai di lingkungan Azure Anda. Langkah-langkah untuk PowerShell dan Azure CLI juga tersedia. Untuk informasi tentang struktur penugasan, lihat Struktur penugasan Azure Policy.
Jumlah maksimum objek Azure Policy
Ada jumlah maksimum untuk setiap jenis objek untuk Kebijakan Azure. Untuk definisi, entri Cakupan mengacu pada kelompok manajemen atau langganan. Untuk penugasan dan pengecualian, entri Cakupan berarti grup manajemen, langganan, grup sumber daya, atau sumber daya individual.
| Di mana | Apa | Jumlah maksimum |
|---|---|---|
| Cakupan | Definisi kebijakan | 500 |
| Cakupan | Definisi Inisiatif | 200 |
| Penyewa | Definisi Inisiatif | 2.500 |
| Cakupan | Penugasan kebijakan atau inisiatif | 200 |
| Cakupan | Pengecualian | 1000 |
| Definisi kebijakan | Parameter | 20 |
| Definisi inisiatif | Kebijakan | 1000 |
| Definisi inisiatif | Parameter | 400 |
| Penugasan kebijakan atau inisiatif | Pengecualian (notScopes) | 400 |
| Aturan kebijakan | Kondisional bertumpuk | 512 |
| Tugas perbaikan | Sumber | 50.000 |
| Definisi kebijakan, inisiatif, atau permintaan penetapan | Byte | 1,048,576 |
Aturan kebijakan memiliki lebih banyak batasan jumlah kondisi dan kompleksitasnya. Untuk informasi selengkapnya, lihat Batas aturan kebijakan.
Langkah berikutnya
Sekarang setelah Anda memiliki gambaran umum Azure Policy dan beberapa konsep utama, gunakan tautan berikut untuk mempelajari selengkapnya tentang layanan.