Guida introduttiva: Creare un'assegnazione di criteri per identificare le risorse non conformi usando un file Bicep

In questa guida introduttiva si usa un file Bicep per creare un'assegnazione di criteri che convalida la conformità della risorsa a un criterio di Azure. I criteri vengono assegnati a un gruppo di risorse e controllano le macchine virtuali che non usano dischi gestiti. Dopo aver creato l'assegnazione dei criteri, si identificano le macchine virtuali non conformi.

Bicep è un linguaggio specifico di dominio (DSL) che usa la sintassi dichiarativa per distribuire le risorse di Azure. Offre sintassi concisa, indipendenza dai tipi affidabile e supporto per il riutilizzo del codice. Bicep offre la migliore esperienza di creazione per le soluzioni di infrastruttura come codice in Azure.

Prerequisiti

• Se non si ha un account Azure, creare un account gratuito prima di iniziare.
• Bicep.
• Azure PowerShell o interfaccia della riga di comando di Azure.
• Visual Studio Code e l'estensione Bicep per Visual Studio Code.
• Microsoft.PolicyInsights deve essere registrato nella sottoscrizione di Azure. Per registrare un provider di risorse, è necessario disporre dell'autorizzazione per registrare i provider di risorse. Tale autorizzazione è inclusa nei ruoli Collaboratore e Proprietario.
• Gruppo di risorse con almeno una macchina virtuale che non usa dischi gestiti.

Esaminare il file Bicep

Il file Bicep crea un'assegnazione di criteri per un ambito di gruppo di risorse e assegna la definizione predefinita dei criteri Controlla le macchine virtuali che non usano dischi gestiti.

Creare il file Bicep seguente come policy-assignment.bicep.

1. Aprire Visual Studio Code e selezionare File>nuovo file di testo.
2. Copiare e incollare il file Bicep in Visual Studio Code.
3. Selezionare Salva file>e usare il nome file policy-assignment.bicep.

param policyAssignmentName string = 'audit-vm-managed-disks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'
param policyDisplayName string = 'Audit VM managed disks'

resource assignment 'Microsoft.Authorization/policyAssignments@2023-04-01' = {
  name: policyAssignmentName
  scope: resourceGroup()
  properties: {
    policyDefinitionId: policyDefinitionID
    description: 'Policy assignment to resource group scope created with Bicep file'
    displayName: policyDisplayName
    nonComplianceMessages: [
      {
        message: 'Virtual machines should use managed disks'
      }
    ]
  }
}

output assignmentId string = assignment.id

Il tipo di risorsa definito nel file Bicep è Microsoft.Authorization/policyAssignments.

Il file Bicep usa tre parametri per distribuire l'assegnazione dei criteri:

• policyAssignmentName crea l'assegnazione di criteri denominata audit-vm-managed-disks.
• policyDefinitionID usa l'ID della definizione di criteri predefinita. Per riferimento, i comandi per ottenere l'ID sono nella sezione per distribuire il modello.
• policyDisplayNamecrea un nome visualizzato visibile in portale di Azure.

Per altre informazioni sui file Bicep:

• Per trovare altri esempi di Bicep, vedere Esplorare gli esempi di codice.
• Per altre informazioni sulle informazioni di riferimento sui modelli per le distribuzioni, vedere Informazioni di riferimento sui modelli di Azure.
• Per informazioni su come sviluppare file Bicep, vedere la documentazione di Bicep.
• Per informazioni sulle distribuzioni a livello di sottoscrizione, passare a Distribuzioni di sottoscrizioni con file Bicep.

Distribuire il file Bicep

È possibile distribuire il file Bicep con Azure PowerShell o l'interfaccia della riga di comando di Azure.

Da una sessione del terminale di Visual Studio Code connettersi ad Azure. Se si dispone di più sottoscrizioni, eseguire i comandi per impostare il contesto sulla sottoscrizione. Sostituire <subscriptionID> con l'ID della sottoscrizione di Azure.

PowerShell

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

Interfaccia della riga di comando di Azure

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

È possibile verificare se Microsoft.PolicyInsights è registrato. In caso contrario, è possibile eseguire un comando per registrare il provider di risorse.

PowerShell

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Per altre informazioni, vedere Get-AzResourceProvider e Register-AzResourceProvider.

Interfaccia della riga di comando di Azure

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

I comandi dell'interfaccia della riga di comando di Azure usano una barra rovesciata (\) per la continuazione della riga per migliorare la leggibilità. Per altre informazioni, vedere az provider.

I comandi seguenti visualizzano il policyDefinitionID valore del parametro:

PowerShell

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

Interfaccia della riga di comando di Azure

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

I comandi seguenti distribuiscono la definizione dei criteri nel gruppo di risorse. Sostituire <resourceGroupName> con il nome del gruppo di risorse:

PowerShell

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.bicep'
}

New-AzResourceGroupDeployment @deployparms

La $rg variabile archivia le proprietà per il gruppo di risorse. La $deployparms variabile usa splattingper creare valori di parametro e migliorare la leggibilità. Il New-AzResourceGroupDeployment comando usa i valori dei parametri definiti nella $deployparms variabile .

• Name è il nome della distribuzione visualizzato nell'output e in Azure per le distribuzioni del gruppo di risorse.
• ResourceGroupName usa la $rg.ResourceGroupName proprietà per ottenere il nome del gruppo di risorse in cui sono assegnati i criteri.
• TemplateFile specifica il nome e il percorso del file Bicep nel computer locale.

Interfaccia della riga di comando di Azure

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.bicep

La rgname variabile usa un'espressione per ottenere il nome del gruppo di risorse usato nel comando di distribuzione.

• name è il nome della distribuzione visualizzato nell'output e in Azure per le distribuzioni del gruppo di risorse.
• resource-group è il nome del gruppo di risorse in cui vengono assegnati i criteri.
• template-file specifica il nome e il percorso del file Bicep nel computer locale.

È possibile verificare la distribuzione dell'assegnazione dei criteri con il comando seguente:

PowerShell

Il comando usa la $rg.ResourceId proprietà per ottenere l'ID del gruppo di risorse.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

Per altre informazioni, vedere Get-AzPolicyAssignment.

Interfaccia della riga di comando di Azure

La rgid variabile usa un'espressione per ottenere l'ID del gruppo di risorse usato per visualizzare l'assegnazione dei criteri.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

L'output è dettagliato, ma è simile all'esempio seguente:

"description": "Policy assignment to resource group scope created with Bicep file",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-20T20:57:09.574944Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

Per altre informazioni, vedere az policy assignment.

Identificare risorse non conformi

Dopo aver distribuito l'assegnazione dei criteri, le macchine virtuali distribuite nel gruppo di risorse vengono controllate per la conformità ai criteri del disco gestito.

Lo stato di conformità per una nuova assegnazione di criteri richiede alcuni minuti per diventare attivo e fornire risultati sullo stato del criterio.

PowerShell

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

La $complianceparms variabile crea i valori dei parametri usati nel Get-AzPolicyState comando .

• ResourceGroupName ottiene il nome del gruppo di risorse dalla $rg.ResourceGroupName proprietà .
• PolicyAssignmentName specifica il nome utilizzato quando è stata creata l'assegnazione dei criteri.
• Filter usa un'espressione per trovare risorse non conformi all'assegnazione dei criteri.

I risultati sono simili all'esempio seguente e ComplianceState mostrano NonCompliant:

Timestamp                : 2/20/2024 18:55:45
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

Per altre informazioni, vedere Get-AzPolicyState.

Interfaccia della riga di comando di Azure

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

La policyid variabile usa un'espressione per ottenere l'ID dell'assegnazione dei criteri. Il filter parametro limita l'output a risorse non conformi.

L'output az policy state list è dettagliato, ma per questo articolo viene complianceState illustrato NonCompliant.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

Per altre informazioni, vedere az policy state.

Pulire le risorse

PowerShell

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Per disconnettersi dalla sessione di Azure PowerShell:

Disconnect-AzAccount

Interfaccia della riga di comando di Azure

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Per disconnettersi dalla sessione dell'interfaccia della riga di comando di Azure:

az logout

Passaggi successivi

In questa Guida introduttiva è stata assegnata una definizione dei criteri per identificare le risorse non conformi nell'ambiente Azure.

Per altre informazioni su come assegnare criteri che convalidano la conformità delle risorse, continuare con l'esercitazione.

Esercitazione: Creare e gestire criteri per imporre la conformità