Informazioni sui criteri
L'applicazione dei criteri alle risorse con Criteri di Azure prevede i passaggi generali indicati di seguito:
- Definizione dei criteri. Creare una definizione del criterio.
- Assegnazione dei criteri. Assegnare la definizione a un ambito di risorse.
- Azioni Correttive. Esame dei risultati della valutazione dei criteri e soluzione di eventuali mancate conformità.
Definizione di criteri
Una definizione di criteri specifica le risorse da valutare e le azioni da intraprendere su tali risorse. È ad esempio possibile fare in modo che le macchine virtuali vengano distribuite se sono esposte a un indirizzo IP pubblico. È anche possibile fare in modo di limitare un disco rigido specifico nella distribuzione delle macchine virtuali per tenere sotto controllo i costi. I criteri vengono definiti nel formato JSON (JavaScript Object Notation).
L'esempio seguente definisce i criteri che limitano le posizioni in cui si possono distribuire le risorse:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
L'elenco seguente è costituito da definizioni di criteri di esempio:
- SKU di account consentiti Archiviazione (nega): determina se un account di archiviazione distribuito si trova all'interno di un set di dimensioni dello SKU. L'effetto consiste nel rifiutare tutti gli account di archiviazione che non rispettano il set di dimensioni di SKU definite.
- Tipo di risorsa consentito (Nega): definisce i tipi di risorse che è possibile distribuire. L'effetto consiste nel rifiutare tutte le risorse non incluse nell'elenco definito.
- Percorsi consentiti (nega): limita le posizioni disponibili per le nuove risorse. L'effetto viene usato per imporre i requisiti di conformità geografica.
- SKU di macchine virtuali consentiti (Deny): specificare un set di SKU di macchine virtuali che è possibile distribuire.
- Aggiungi un tag alle risorse (Modify): applica un tag obbligatorio e il relativo valore predefinito se non viene specificato nella richiesta di distribuzione.
- Tipi di risorse non consentiti (Nega): impedisce la distribuzione di un elenco di tipi di risorse.
Assegnazione dei criteri
Le definizioni dei criteri, personalizzate o predefinite, devono essere assegnate.
Un'assegnazione di criteri è una definizione di criteri che è stata assegnata a un ambito specifico. Gli ambiti possono spaziare da un gruppo di gestione a un gruppo di risorse.
Le risorse figlio erediteranno tutte le assegnazioni di criteri applicate alle risorse padre.
Questo significa che se un criterio viene applicato a un gruppo di risorse, verrà usato per tutte le risorse all'interno di quel gruppo.
È comunque possibile definire sottoambiti per escludere risorse da assegnazioni di criteri.
È possibile assegnare criteri attraverso:
- Portale di Azure.
- Interfaccia della riga di comando di Azure.
- PowerShell.
Correzione
Le risorse che non seguono una condizione di criteri deployIfNotExists o modify possono essere inserite in uno stato di conformità attraverso la correzione.
La correzione indica a Criteri di Azure di eseguire l'effetto deployIfNotExists o le operazioni di tag dei criteri sulle risorse esistenti.
Per ridurre al minimo la deriva della configurazione, è possibile rendere conformi le risorse usando la correzione in blocco automatizzata invece di passarle una alla volta.
Per altre informazioni su Criteri di Azure, vedere la pagina Web Criteri di Azure.