Beleid gebruiken om standaarden af te dwingen

  • 7 minuten

U organiseert uw resources beter in resourcegroepen en u hebt tags op uw resources toegepast, zodat u ze kunt gebruiken in factureringsrapporten en in uw bewakingsoplossing. Het groeperen en taggen van de bestaande resources maakt een groot verschil, maar hoe zorgt u ervoor dat de regels ook voor nieuwe resources worden gebruikt? Laten we eens kijken hoe u met beleidsregels standaarden in uw Azure-omgeving kunt afdwingen.

Wat is Azure Policy?

Azure Policy is een service die u kunt gebruiken om beleidsregels te maken, toe te wijzen en te beheren. Met deze beleidsregels worden regels toegepast en afgedwongen die uw resources moeten volgen. Deze beleidsregels kunnen deze regels afdwingen wanneer resources worden gemaakt en u kunt deze evalueren op basis van bestaande resources om inzicht te krijgen in de naleving.

Beleidsregels kunnen regels afdwingen, zoals het alleen toestaan van specifieke typen resources om te worden gemaakt of alleen resources in specifieke Azure-regio's toestaan. U kunt naamconventies afdwingen voor uw Azure-omgeving. U kunt ook afdwingen dat specifieke tags worden toegepast op resources. Laten we eens kijken hoe beleidsregels werken.

Een beleid maken

U wilt ervoor zorgen dat aan alle resources de afdelingstag is gekoppeld en dat het maken van de tag wordt geblokkeerd als de tag niet bestaat. U moet een nieuwe beleidsdefinitie maken en deze toewijzen aan een bereik; In dit geval is het bereik onze resourcegroep msftlearn-core-infrastructure-rg . U kunt beleidsregels maken en toewijzen via Azure Portal, Azure PowerShell of Azure CLI. In deze oefening gaat u een beleidsregel maken in de portal.

De beleidsdefinitie maken

  1. Ga naar Azure Portal in een webbrowser als u dit nog niet hebt gedaan. Zoek in het zoekvak in de bovenste navigatiebalk op Policy en selecteer de service Policy.

  2. Selecteer het deelvenster Definities in de sectie Creatie in het linkermenu.

  3. Er wordt een lijst met ingebouwde beleidsregels weergegeven die u kunt gebruiken. In dit geval gaat u uw eigen aangepaste beleid maken. Selecteer + Beleidsdefinitie in het bovenste menu.

  4. Met deze knop wordt het dialoogvenster Nieuwe beleidsdefinitie geopend. Als u de definitielocatie wilt instellen, selecteert u de blauwe bereikkiezer (...). Selecteer het abonnement waarin het beleid is opgeslagen. Dit moet hetzelfde abonnement zijn als onze resourcegroep. Selecteer de knop Selecteren.

  5. Voer in het dialoogvenster Nieuwe beleidsdefinitie de tag Afdwingen in het veld Naam in.

  6. Voer bij Beschrijving de volgende tekst in: Dit beleid dwingt de aanwezigheid van een tag voor een resource.

  7. Voor Categorie selecteert u Bestaande gebruiken en selecteert u vervolgens de categorie Algemeen .

  8. Verwijder voor de beleidsregel alle tekst in het vak en plak de volgende JSON:

    {
  "mode": "Indexed",
  "policyRule": {
    "if": {
      "field": "[concat('tags[', parameters('tagName'), ']')]",
      "exists": "false"
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {
    "tagName": {
      "type": "String",
      "metadata": {
        "displayName": "Tag Name",
        "description": "Name of the tag, such as 'environment'"
      }
    }
  }
}

    Uw beleidsdefinitie moet eruitzien als in het volgende voorbeeld. Selecteer Opslaan om uw beleidsdefinitie op te slaan.

    Screenshot of Azure portal showing the new policy definition dialog.

Een beleidstoewijzing maken

U hebt het beleid gemaakt, maar nog niet geactiveerd. U moet een toewijzing maken om het beleid in te schakelen. In dit geval wijst u deze toe aan het bereik van uw resourcegroep msftlearn-core-infrastructure-rg , zodat deze van toepassing is op alles in de resourcegroep.

  1. Selecteer in het beleidsdeelvenster de optie Toewijzingen in de sectie Creatie aan de linkerkant.

  2. Selecteer bovenaan Beleid toewijzen.

  3. In het dialoogvenster Beleid toewijzen wijst u uw beleid toe aan onze resourcegroep. Selecteer voor Bereik de blauwe bereikkiezer (...) starten. Selecteer uw abonnement en de resourcegroep msftlearn-core-infrastructure-rg en selecteer vervolgens de knop Selecteren.

  4. Selecteer voor beleidsdefinitie de blauwe kiezer beleidsdefinitie starten (...). Selecteer in de vervolgkeuzelijst Type aangepast, selecteer de tag Afdwingen voor resourcebeleid dat u hebt gemaakt en selecteer vervolgens de knop Toevoegen.

  5. Selecteer het tabblad Parameters boven aan het scherm.

  6. Voer in het deelvenster Parameters afdeling in voor de tagnaam.

  7. Selecteer Beoordelen en maken en selecteer vervolgens Maken om de toewijzing te maken.

Het beleid testen

Nu u het beleid aan uw resourcegroep hebt toegewezen, mislukken pogingen om een resource te maken zonder de tag Afdeling .

Belangrijk

Houd er rekening mee dat het tot 30 minuten kan duren voordat de beleidstoewijzing van kracht is. Vanwege deze vertraging kan de beleidsvalidatie in de volgende stappen slagen, maar mislukt de implementatie nog steeds. Als dit gebeurt, moet u even wacht en de implementatie opnieuw uitvoeren.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Zoek naar opslagaccount en selecteer Opslagaccount. Selecteer Maken in de resultaten.

  3. Selecteer uw abonnement en selecteer vervolgens de resourcegroep msftlearn-core-infrastructure-rg .

  4. Geef bij Naam opslagaccount de gewenste naam op. Houd er wel rekening mee dat dit een geeft u het een naam van uw keuze, maar houd er rekening mee dat de naam overal uniek moet zijn.

  5. Laat de rest van de opties op de standaardwaarde staan en selecteer Controleren.

    De validatie voor het maken van resources mislukt omdat er geen afdelingstag is toegepast op de resource. Als het beleid geen validatiefout heeft veroorzaakt, moet u mogelijk nog enkele minuten wachten totdat het is ingeschakeld.

    Screenshot of Azure portal showing a policy validation failure on a new storage account without a tag.

    Corrigeer de schending zodat het opslagaccount kan worden geïmplementeerd.

  6. Selecteer Tags boven aan het deelvenster Opslagaccount maken.

  7. Voeg een tag Department:Finance toe aan de lijst.

    Screenshot of Azure portal showing a new Department tag to add during creation.

  8. Klik nu op Controleren. Validatie wordt nu doorgegeven en als u Maken selecteert, wordt uw opslagaccount gemaakt.

Beleid gebruiken om standaarden af te dwingen

U hebt gezien hoe u beleidsregels kunt gebruiken om ervoor te zorgen dat uw resources over de tags beschikken die uw resources organiseren. Er zijn andere manieren waarop we beleid kunnen gebruiken voor ons voordeel.

U kunt een beleid gebruiken om te beperken tot welke Azure-regio's u resources kunt implementeren. Voor organisaties die sterk gereglementeerd zijn of wettelijke of wettelijke beperkingen hebben voor waar gegevens zich kunnen bevinden, helpen beleidsregels ervoor te zorgen dat resources niet worden ingericht in geografische gebieden die voldoen aan deze vereisten.

U kunt een beleid gebruiken om te beperken welke typen grootten van virtuele machines kunnen worden geïmplementeerd. Mogelijk wilt u grote VM-grootten in uw productieabonnementen toestaan, maar misschien wilt u ervoor zorgen dat u de kosten geminimaliseerd houdt in uw dev-abonnementen. Door grote VM-grootten middels beleidsregels in uw ontwikkelabonnementen te weigeren, kunt u ervoor zorgen dat dergelijke VM's niet worden geïmplementeerd in deze omgevingen.

U kunt ook een beleid gebruiken om naamconventies af te dwingen. Als uw organisatie de naamconventies heeft gestandaardiseerd, kunt u met beleidsregels de naamconventies afdwingen en zodoende een consistente naamgevingsstandaard voor uw Azure-resources aanhouden.