Quickstart: Een beleidstoewijzing maken om niet-compatibele resources te identificeren met behulp van een Bicep-bestand

In deze quickstart gebruikt u een Bicep-bestand om een beleidstoewijzing te maken waarmee de naleving van resources met een Azure-beleid wordt gevalideerd. Het beleid wordt toegewezen aan een resourcegroep en controleert virtuele machines die geen beheerde schijven gebruiken. Nadat u de beleidstoewijzing hebt gemaakt, identificeert u niet-compatibele virtuele machines.

Bicep is een domeinspecifieke taal (DSL) die declaratieve syntaxis gebruikt om Azure-resources te implementeren. Deze taal voorziet in een beknopte syntaxis, betrouwbare typeveiligheid en ondersteuning voor hergebruik van code. Bicep biedt de beste ontwerpervaring voor uw infrastructuur als code-oplossingen in Azure.

Vereisten

• Als u geen Azure-account hebt, maak dan een gratis account aan voordat u begint.
• Bicep.
• Azure PowerShell of Azure CLI.
• Visual Studio Code en de Bicep-extensie voor Visual Studio Code.
• Microsoft.PolicyInsights moet zijn geregistreerd in uw Azure-abonnement. Als u een resourceprovider wilt registreren, moet u gemachtigd zijn om resourceproviders te registreren. Deze machtiging is opgenomen in de rollen Inzender en Eigenaar.
• Een resourcegroep met ten minste één virtuele machine die geen beheerde schijven gebruikt.

Het Bicep-bestand controleren

Het Bicep-bestand maakt een beleidstoewijzing voor een resourcegroepsbereik en wijst de ingebouwde beleidsdefinitie Virtuele machines toe die geen beheerde schijven gebruiken.

Maak het volgende Bicep-bestand als policy-assignment.bicep.

1. Open Visual Studio Code en selecteer Bestand>nieuw tekstbestand.
2. Kopieer en plak het Bicep-bestand in Visual Studio Code.
3. Selecteer Bestand>opslaan en gebruik de bestandsnaam policy-assignment.bicep.

param policyAssignmentName string = 'audit-vm-managed-disks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'
param policyDisplayName string = 'Audit VM managed disks'

resource assignment 'Microsoft.Authorization/policyAssignments@2023-04-01' = {
  name: policyAssignmentName
  scope: resourceGroup()
  properties: {
    policyDefinitionId: policyDefinitionID
    description: 'Policy assignment to resource group scope created with Bicep file'
    displayName: policyDisplayName
    nonComplianceMessages: [
      {
        message: 'Virtual machines should use managed disks'
      }
    ]
  }
}

output assignmentId string = assignment.id

Het resourcetype dat in het Bicep-bestand is gedefinieerd, is Microsoft.Authorization/policyAssignments.

Het Bicep-bestand gebruikt drie parameters om de beleidstoewijzing te implementeren:

• policyAssignmentName maakt de beleidstoewijzing met de naam audit-vm-managed-disks.
• policyDefinitionID gebruikt de id van de ingebouwde beleidsdefinitie. Ter referentie bevinden de opdrachten om de id op te halen zich in de sectie voor het implementeren van de sjabloon.
• policyDisplayName hiermee maakt u een weergavenaam die zichtbaar is in Azure Portal.

Voor meer informatie over Bicep-bestanden:

• Als u meer Bicep-voorbeelden wilt vinden, gaat u naar Codevoorbeelden bekijken.
• Ga naar azure-sjabloonreferenties voor meer informatie over sjabloonreferenties voor implementaties.
• Als u wilt weten hoe u Bicep-bestanden ontwikkelt, gaat u naar de Bicep-documentatie.
• Ga naar Abonnementsimplementaties met Bicep-bestanden voor meer informatie over implementaties op abonnementsniveau.

Het Bicep-bestand implementeren

U kunt het Bicep-bestand implementeren met Azure PowerShell of Azure CLI.

Maak vanuit een Visual Studio Code-terminalsessie verbinding met Azure. Als u meer dan één abonnement hebt, voert u de opdrachten uit om context in te stellen op uw abonnement. Vervang <subscriptionID> door de id van uw Azure-abonnement.

PowerShell

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

Azure-CLI

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

U kunt controleren of Microsoft.PolicyInsights deze is geregistreerd. Als dat niet het is, kunt u een opdracht uitvoeren om de resourceprovider te registreren.

PowerShell

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Ga voor meer informatie naar Get-AzResourceProvider en Register-AzResourceProvider.

Azure-CLI

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

De Azure CLI-opdrachten gebruiken een backslash (\) om de leesbaarheid te verbeteren. Ga naar az provider voor meer informatie.

Met de volgende opdrachten wordt de waarde van de policyDefinitionID parameter weergegeven:

PowerShell

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

Azure-CLI

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

Met de volgende opdrachten wordt de beleidsdefinitie geïmplementeerd in uw resourcegroep. Vervang door <resourceGroupName> de naam van de resourcegroep:

PowerShell

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.bicep'
}

New-AzResourceGroupDeployment @deployparms

In $rg de variabele worden eigenschappen voor de resourcegroep opgeslagen. De $deployparms variabele maakt gebruik van splatting om parameterwaarden te maken en de leesbaarheid te verbeteren. De New-AzResourceGroupDeployment opdracht gebruikt de parameterwaarden die zijn gedefinieerd in de $deployparms variabele.

• Name is de implementatienaam die wordt weergegeven in de uitvoer en in Azure voor de implementaties van de resourcegroep.
• ResourceGroupName gebruikt de $rg.ResourceGroupName eigenschap om de naam op te halen van uw resourcegroep waaraan het beleid is toegewezen.
• TemplateFile hiermee geeft u de naam en locatie van het Bicep-bestand op uw lokale computer.

Azure-CLI

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.bicep

De rgname variabele gebruikt een expressie om de naam van de resourcegroep op te halen die wordt gebruikt in de implementatieopdracht.

• name is de implementatienaam die wordt weergegeven in de uitvoer en in Azure voor de implementaties van de resourcegroep.
• resource-group is de naam van uw resourcegroep waaraan het beleid is toegewezen.
• template-file hiermee geeft u de naam en locatie van het Bicep-bestand op uw lokale computer.

U kunt de implementatie van de beleidstoewijzing controleren met de volgende opdracht:

PowerShell

De opdracht gebruikt de $rg.ResourceId eigenschap om de id van de resourcegroep op te halen.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

Ga voor meer informatie naar Get-AzPolicyAssignment.

Azure-CLI

De rgid variabele gebruikt een expressie om de id van de resourcegroep op te halen die wordt gebruikt om de beleidstoewijzing weer te geven.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

De uitvoer is uitgebreid, maar lijkt op het volgende voorbeeld:

"description": "Policy assignment to resource group scope created with Bicep file",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-20T20:57:09.574944Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

Ga voor meer informatie naar az policy assignment.

Niet-compatibele resources identificeren

Nadat de beleidstoewijzing is geïmplementeerd, worden virtuele machines die zijn geïmplementeerd in de resourcegroep gecontroleerd op naleving van het beleid voor beheerde schijven.

Het duurt enkele minuten voordat de nalevingsstatus voor een nieuwe beleidstoewijzing actief wordt en resultaten geeft over de status van het beleid.

PowerShell

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

De $complianceparms variabele maakt parameterwaarden die in de Get-AzPolicyState opdracht worden gebruikt.

• ResourceGroupName haalt de naam van de resourcegroep op uit de $rg.ResourceGroupName eigenschap.
• PolicyAssignmentName hiermee geeft u de naam op die wordt gebruikt bij het maken van de beleidstoewijzing.
• Filter gebruikt een expressie om resources te vinden die niet compatibel zijn met de beleidstoewijzing.

Uw resultaten lijken op het volgende voorbeeld en ComplianceState tonen NonCompliant:

Timestamp                : 2/20/2024 18:55:45
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

Ga naar Get-AzPolicyState voor meer informatie.

Azure-CLI

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

De policyid variabele gebruikt een expressie om de id van de beleidstoewijzing op te halen. De filter parameter beperkt de uitvoer tot niet-compatibele resources.

De az policy state list uitvoer is uitgebreid, maar voor dit artikel worden de complianceState voorstellingen weergegeven NonCompliant.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

Ga naar az policy state voor meer informatie.

Resources opschonen

PowerShell

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Afmelden bij uw Azure PowerShell-sessie:

Disconnect-AzAccount

Azure-CLI

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Afmelden bij uw Azure CLI-sessie:

az logout

Volgende stappen

In deze Quick Start hebt u een beleidsdefinitie toegewezen om niet-compatibele resources in uw Azure-omgeving te identificeren.

Ga verder met de zelfstudie voor meer informatie over het toewijzen van beleidsregels voor het valideren van resourcenaleving.

Zelfstudie: Beleidsregels voor het afdwingen van naleving maken en beheren