Avvio rapido: creare un'assegnazione di criteri per identificare le risorse non conformi usando un modello di ARM

In questo avvio rapido, si usa un modello di Azure Resource Manager (modello di ARM) per creare un'assegnazione di criteri che convalida la conformità della risorsa con un criterio di Azure. I criteri vengono assegnati a un gruppo di risorse e controllano le macchine virtuali che non usano dischi gestiti. Al termine della creazione dell'assegnazione dei criteri, si identificano le macchine virtuali non conformi.

Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello utilizza la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.

Se l'ambiente soddisfa i prerequisiti e si ha familiarità con l'uso dei modelli di Resource Manager, selezionare il pulsante Distribuisci in Azure. Il modello viene visualizzato nel portale di Azure.

Quando si assegna un criterio predefinito o una definizione di iniziativa, è facoltativo fare riferimento a una versione. Per impostazione predefinita, le assegnazioni di criteri delle definizioni si basano sulla versione più recente ed ereditano automaticamente le modifiche della versione secondaria, se non diversamente specificato.

Prerequisiti

• Se non si ha un account Azure, creare un account gratuito prima di iniziare.
• Azure PowerShell o interfaccia della riga di comando di Azure.
• Visual Studio Code e Strumenti di Azure Resource Manager (ARM).
• Microsoft.PolicyInsights deve essere registrato nella sottoscrizione di Azure. Per registrare un provider di risorse, è necessario disporre dell'autorizzazione per registrare i provider di risorse. Tale autorizzazione è inclusa nei ruoli Collaboratore e Proprietario.
• Gruppo di risorse con almeno una macchina virtuale che non usa dischi gestiti.

Rivedere il modello

Il modello di ARM crea un'assegnazione di criteri per un ambito del gruppo di risorse e assegna la definizione dei criteri predefinita Controllare le macchine virtuali che non usano dischi gestiti.

Creare il modello di ARM seguente come policy-assignment.json.

1. Aprire Visual Studio Code e selezionare File>Nuovo file di testo.
2. Copiare e incollare il modello di ARM in Visual Studio Code.
3. Selezionare File>Salva e usare il nome file policy-assignment.json.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "defaultValue": "audit-vm-managed-disks",
      "metadata": {
        "description": "Policy assignment name used in assignment's resource ID"
      }
    },
    "policyDefinitionID": {
      "type": "string",
      "defaultValue": "/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d",
      "metadata": {
        "description": "Policy definition ID"
      }
    },
    "policyDisplayName": {
      "type": "string",
      "defaultValue": "Audit VM managed disks",
      "metadata": {
        "description": "Display name for Azure portal"
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Authorization/policyAssignments",
      "apiVersion": "2023-04-01",
      "name": "[parameters('policyAssignmentName')]",
      "properties": {
        "policyDefinitionId": "[parameters('policyDefinitionID')]",
        "description": "Policy assignment to resource group scope created with ARM template",
        "displayName": "[parameters('policyDisplayName')]",
        "nonComplianceMessages": [
          {
            "message": "Virtual machines should use managed disks"
          }
        ]
      }
    }
  ],
  "outputs": {
    "assignmentId": {
      "type": "string",
      "value": "[resourceId('Microsoft.Authorization/policyAssignments', parameters('policyAssignmentName'))]"
    }
  }
}

Il tipo di risorsa definita nel modello di ARM è Microsoft.Authorization/policyAssignments.

Il modello usa tre parametri per distribuire l'assegnazione dei criteri:

• policyAssignmentName crea l'assegnazione di criteri denominata audit-vm-managed-disks.
• policyDefinitionID usa l'ID della definizione dei criteri predefinita. Per riferimento, i comandi per ottenere l'ID si trovano nella sezione per distribuire il modello.
• policyDisplayName crea un nome visualizzato visibile nel portale di Azure.

Per altre informazioni sui file del modello di ARM:

• Per altri esempi di modelli di ARM, vedere Sfoglia esempi di codice.
• Per altre informazioni sui riferimenti ai modelli per le distribuzioni, vedere riferimento al modello di Azure.
• Per informazioni su come sviluppare modelli di ARM, vedere documentazione del modello di ARM.
• Per informazioni sulle distribuzioni a livello di sottoscrizione, passare a Distribuzioni di sottoscrizioni con i modelli di ARM.

Distribuire il modello di Resource Manager

È possibile distribuire il modello di ARM con Azure PowerShell o l'interfaccia della riga di comando di Azure.

Da una sessione del terminale di Visual Studio Code connettersi ad Azure. Se si dispone di più sottoscrizioni, eseguire i comandi per impostare il contesto sulla sottoscrizione. Sostituire <subscriptionID> con l'ID della sottoscrizione di Azure.

PowerShell

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

Interfaccia della riga di comando di Azure

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

È possibile verificare se Microsoft.PolicyInsights è registrato. Se non è registrato, eseguire il comando seguente per registrare il provider di risorse.

PowerShell

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Per altre informazioni, vedere Get-AzResourceProvider e Register-AzResourceProvider.

Interfaccia della riga di comando di Azure

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

I comandi dell'interfaccia della riga di comando di Azure usano una barra rovesciata (\) per la continuazione della riga in moda da migliorare la leggibilità. Per altre informazioni, vedere az provider.

I comandi seguenti mostrano il valore del parametro policyDefinitionID:

PowerShell

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

Interfaccia della riga di comando di Azure

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

I comandi seguenti distribuiscono la definizione dei criteri nel gruppo di risorse. Sostituire <resourceGroupName> con il nome del gruppo di risorse:

PowerShell

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.json'
}

New-AzResourceGroupDeployment @deployparms

La variabile $rg archivia le proprietà per il gruppo di risorse. La variabile $deployparms usa lo splatting per creare i valori dei parametri e migliorare la leggibilità. Il comando New-AzResourceGroupDeployment usa i valori dei parametri definiti nella variabile $deployparms.

• Name è il nome della distribuzione visualizzato nell'output e in Azure per le distribuzioni del gruppo di risorse.
• ResourceGroupName usa la proprietà $rg.ResourceGroupName per ottenere il nome del gruppo di risorse in cui sono assegnati i criteri.
• TemplateFile specifica il nome e la posizione del modello di ARM e la posizione nel computer locale.

Interfaccia della riga di comando di Azure

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.json

La variabile rgname usa un'espressione per ottenere il nome del gruppo di risorse usato nel comando di distribuzione.

• name è il nome della distribuzione visualizzato nell'output e in Azure per le distribuzioni del gruppo di risorse.
• resource-group è il nome del gruppo di risorse in cui sono assegnati i criteri.
• template-file specifica il nome e la posizione del modello di ARM e la posizione nel computer locale.

È possibile verificare la distribuzione dell'assegnazione dei criteri con il comando seguente:

PowerShell

Il comando usa la proprietà $rg.ResourceId per ottenere l'ID del gruppo di risorse.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

Per altre informazioni, vedere Get-AzPolicyAssignment.

Interfaccia della riga di comando di Azure

La variabile rgid usa un'espressione per ottenere l'ID del gruppo di risorse usato per mostrare l’assegnazione dei criteri.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

L'output è dettagliato, ma è simile all'esempio seguente:

"description": "Policy assignment to resource group scope created with ARM template",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-26T19:01:23.2777972Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

Per altre informazioni, vedere az policy assignment.

Identificare risorse non conformi

Dopo aver distribuito l'assegnazione dei criteri, le macchine virtuali distribuite nel gruppo di risorse vengono controllate per verificare la conformità ai criteri del disco gestito.

Lo stato di conformità per una nuova assegnazione di criteri richiede alcuni minuti per diventare attivo e fornire risultati sullo stato del criterio.

PowerShell

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

La variabile $complianceparms crea i valori dei parametri usati nel comando Get-AzPolicyState.

• ResourceGroupName ottiene il nome del gruppo di risorse dalla proprietà $rg.ResourceGroupName.
• PolicyAssignmentName specifica il nome usato quando è stata creata l'assegnazione dei criteri.
• Filter usa un'espressione per trovare risorse non conformi all'assegnazione dei criteri.

I risultati saranno simili all'esempio seguente e ComplianceState mostra NonCompliant:

Timestamp                : 2/26/2024 19:02:56
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

Per altre informazioni, vedere Get-AzPolicyState.

Interfaccia della riga di comando di Azure

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

La variabile policyid usa un'espressione per ottenere l'ID dell'assegnazione dei criteri. Il parametro filter limita l'output alle risorse non conformi.

L'output az policy state list è dettagliato, ma per questo articolo complianceState mostra NonCompliant.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

Per altre informazioni, vedere az policy state.

Pulire le risorse

PowerShell

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Per disconnettersi dalla sessione di Azure PowerShell:

Disconnect-AzAccount

Interfaccia della riga di comando di Azure

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Per disconnettersi dalla sessione dell'interfaccia della riga di comando di Azure:

az logout

Passaggi successivi

In questa Guida introduttiva è stata assegnata una definizione dei criteri per identificare le risorse non conformi nell'ambiente Azure.

Per altre informazioni su come assegnare criteri che convalidano la conformità delle risorse, continuare con l'esercitazione.

Esercitazione: Creare e gestire criteri per imporre la conformità