Esercitazione: Non consentire tipi di risorse nell'ambiente cloud
Un obiettivo comune della governance del cloud è limitare i tipi di risorse consentiti nell'ambiente. Le aziende hanno molte motivazioni alla base delle restrizioni relative al tipo di risorsa. Ad esempio, i tipi di risorse potrebbero essere costosi o potrebbero andare contro gli standard e le strategie aziendali. Anziché usare molti criteri per i singoli tipi di risorse, Criteri di Azure offre due criteri predefiniti per raggiungere questo obiettivo:
Nome (Portale di Azure) |
Descrizione | Effetto | Versione (GitHub) |
---|---|---|---|
Tipi di risorse consentiti | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può distribuire. Solo i tipi di risorse che supportano 'tag' e 'location' sono interessati da questo criterio. Per limitare tutte le risorse, duplicare questo criterio e impostare "mode" su "All". | rifiutare | 1.0.0 |
Tipi di risorse non consentiti | Limitare i tipi di risorse che possono essere distribuiti nell'ambiente in uso. La limitazione dei tipi di risorse può ridurre la complessità e la superficie di attacco dell'ambiente, consentendo allo stesso tempo di gestire i costi. I risultati della conformità vengono visualizzati solo per le risorse non conformi. | Audit, Deny, Disabled | 2.0.0 |
In questa esercitazione si applicano i criteri Tipi di risorse non consentiti e si gestiscono i tipi di risorse su larga scala tramite Microsoft portale di Azure.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Assegnare la definizione dei criteri
Il primo passaggio per disabilitare i tipi di risorse consiste nell'assegnare la definizione di criteri Tipi di risorse non consentiti.
Passare a Tipi di risorse non consentiti in portale di Azure.
Selezionare il pulsante Assegna nella parte superiore della pagina.
Nella scheda Informazioni di base impostare l'ambito selezionando i puntini di sospensione e scegliendo un gruppo di gestione, una sottoscrizione o un gruppo di risorse. Verificare che l'ambito selezionato abbia almeno un ambito secondario. Fare quindi clic su Seleziona nella parte inferiore della pagina Ambito.
Questo esempio descrive come usare la sottoscrizione Contoso.
Nota
Se si assegna questa definizione di criteri all'ambito del gruppo di gestione radice, il portale può rilevare i tipi di risorse non consentiti e disabilitarli nella visualizzazione Tutti i servizi in modo che gli utenti del portale siano a conoscenza della restrizione prima di tentare di distribuire una risorsa non consentita.
Le risorse possono essere escluse in base all'Ambito. Le esclusioni iniziano a un livello inferiore rispetto al livello dell'Ambito. Le esclusioni sono facoltative quindi per il momento è possibile lasciare vuoto il campo.
Il nome dell'assegnazione viene popolato automaticamente con il nome della definizione dei criteri selezionato, ma è possibile modificarlo. È anche possibile aggiungere una descrizione facoltativa per fornire informazioni dettagliate su questa assegnazione di criteri.
Lasciare Imposizione dei criteri su Abilitata. Quando è Disabilitata, questa impostazione consente di testare il risultato del criterio senza attivare l'effetto. Per altre informazioni, vedere Modalità di imposizione.
Assegnato da viene riempito automaticamente in base a chi ha eseguito l'accesso. Questo campo è facoltativo, quindi è possibile inserire valori personalizzati.
Selezionare la scheda Parametri nella parte superiore della procedura guidata. Questa esercitazione ignora la scheda Avanzate .
Per il parametro Tipi di risorse non consentiti, usare l'elenco a discesa per cercare e selezionare i tipi di risorse che non devono essere consentiti nell'ambiente cloud.
Questa definizione di criteri non ha effetti
modify
odeployIfNotExists
, quindi non supporta le attività di correzione. Per questa esercitazione, ignorare la scheda Correzione .Selezionare la scheda Messaggi di non conformità nella parte superiore della procedura guidata.
Impostare il messaggio Non conformità su Questo tipo di risorsa non è consentito. Questo messaggio personalizzato viene visualizzato quando una risorsa viene negata o in caso di risorse non conformi durante la normale valutazione.
Selezionare la scheda Rivedi e crea nella parte superiore della procedura guidata.
Esaminare le selezioni e quindi fare clic su Crea nella parte inferiore della pagina.
Visualizzare i tipi di risorse disabilitati in portale di Azure
Questo passaggio si applica solo quando i criteri sono stati assegnati nell'ambito del gruppo di gestione radice.
Ora che è stata assegnata una definizione di criteri predefinita, passare a Tutti i servizi. portale di Azure è a conoscenza dei tipi di risorse non consentiti da questa assegnazione di criteri e li disabilita in Pagina Tutti i servizi. L'opzione Crea non è disponibile per i tipi di risorse disabilitati.
Nota
Se si assegna questa definizione di criteri al gruppo di gestione radice, gli utenti visualizzeranno la notifica seguente quando accedono per la prima volta o se i criteri vengono modificati dopo l'accesso:
Criteri modificati dall'amministratore L'amministratore ha apportato modifiche ai criteri per l'account. È consigliabile aggiornare il portale per usare i criteri aggiornati.
Creare un'esenzione
Si supponga ora che un ambito secondario debba essere autorizzato a disabilitare i tipi di risorse da questo criterio. Si creerà ora un'esenzione per questo ambito in modo che le risorse con restrizioni altrimenti possano essere distribuite in tale ambito.
Avviso
Se si assegna questa definizione di criteri all'ambito del gruppo di gestione radice, portale di Azure non è in grado di rilevare le esenzioni in ambiti di livello inferiore. Le risorse non consentite dall'assegnazione dei criteri verranno visualizzate come disabilitate dall'elenco Tutti i servizi e l'opzione Crea non è disponibile. È tuttavia possibile creare risorse nell'ambito esente con client come l'interfaccia della riga di comando di Azure, Azure PowerShell o i modelli di Azure Resource Manager.
Selezionare Assegnazioni in Creazione sul lato sinistro della pagina Criteri di Azure.
Cercare l'assegnazione di criteri creata.
Selezionare il pulsante Crea esenzione nella parte superiore della pagina.
Nella scheda Informazioni di base selezionare l'ambito di esenzione, ovvero l'ambito secondario a cui devono essere consentite risorse limitate da questa assegnazione di criteri.
Compilare il nome dell'esenzione con il testo desiderato e lasciare la categoria Esenzione come predefinita di Esenzione. Non cambiare l'interruttore per l'impostazione Scadenza esenzione, perché questa esenzione non verrà impostata per la scadenza. Facoltativamente, aggiungere una descrizione dell'esenzione e selezionare Rivedi e crea.
Questa esercitazione ignora la scheda Avanzate . Nella scheda Rivedi e crea selezionare Crea.
Per visualizzare l'esenzione, selezionare Esenzioni in Creazione sul lato sinistro della pagina Criteri di Azure.
Ora l'ambito secondario può avere i tipi di risorse non consentiti dai criteri.
Pulire le risorse
Se si lavora con le risorse di questa esercitazione, seguire questa procedura per eliminare le assegnazioni o le definizioni dei criteri create in questa esercitazione:
Selezionare Definizioni (o Assegnazioni se si sta tentando di eliminare un'assegnazione) in Creazione sul lato sinistro della pagina Criteri di Azure.
Cercare la nuova iniziativa o definizione (o assegnazione) di criteri da rimuovere.
Fare clic con il pulsante destro del mouse sulla riga o selezionare i puntini di sospensione alla fine della definizione (o assegnazione) e quindi Elimina definizione o Elimina assegnazione.
Revisione
In questa esercitazione sono state eseguite le attività seguenti:
- È stato assegnato il criterio predefinito Tipi di risorse non consentiti per negare la creazione di tipi di risorse non consentiti
- Creazione di un'esenzione per questa assegnazione di criteri in un ambito secondario
Con questo criterio predefinito sono stati specificati tipi di risorse che non sono consentiti. L'approccio alternativo più restrittivo consiste nel specificare i tipi di risorse consentiti usando i criteri predefiniti Tipi di risorse consentiti.
Nota
portale di AzureTutti i servizi disabiliteranno solo le risorse non specificate nei criteri relativi al tipo di risorsa consentito se mode
è impostato su All
e i criteri vengono assegnati al gruppo di gestione radice. Ciò è dovuto al fatto che controlla tutti i tipi di tags
risorse indipendentemente da e locations
. Se si vuole che il portale disponga di questo comportamento, duplicare il criterio predefinito Tipi di risorse consentiti e cambiarne mode
da Indexed
a All
, quindi assegnarlo all'ambito del gruppo di gestione radice.
Passaggi successivi
Per altre informazioni sulle strutture delle definizioni, delle assegnazioni e delle esenzioni dei criteri, vedere gli articoli seguenti:
struttura di definizione Criteri di AzureCriteri di Azure struttura di assegnazioneCriteri di Azure struttura di esenzione
Per visualizzare un elenco completo degli esempi di criteri predefiniti, vedere questo articolo: