Meer informatie over beleidsregels
Het toepassen van een beleid op uw resources met Azure Policy omvat de volgende stappen op hoog niveau:
- Beleidsdefinitie. Een beleidsdefinitie maken.
- Beleidstoewijzing. Wijs de definitie toe aan een bereik van resources.
- Herstel. Bekijk de resultaten van de beleidsevaluatie en los eventuele niet-nalevingen op.
Beleidsdefinitie
Een beleidsdefinitie geeft aan welke resources moeten worden geëvalueerd en welke acties moeten worden uitgevoerd. U kunt bijvoorbeeld voorkomen dat VM's worden geïmplementeerd als ze worden blootgesteld aan een openbaar IP-adres. U kunt ook een specifieke harde schijf bevatten voor het implementeren van VM's om de kosten te beheren. Beleidsregels worden gedefinieerd in de JSON-indeling (JavaScript Object Notation).
In het volgende voorbeeld wordt een beleid gedefinieerd dat limieten definieert voor het implementeren van resources:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
De volgende lijst bevat voorbeelden van beleidsdefinities:
- Toegestane SKU's voor opslagaccounts (weigeren): bepaalt of een opslagaccount dat wordt geïmplementeerd zich binnen een set SKU-grootten bevindt. Het bijbehorende effect is om alle opslagaccounts te weigeren die niet in overeenstemming zijn met de gedefinieerde SKU-grootten.
- Toegestaan resourcetype (weigeren): definieert de resourcetypen die u kunt implementeren. Het bijbehorende effect is om alle resources te weigeren die geen deel uitmaken van deze gedefinieerde lijst.
- Toegestane locaties (Weigeren): Hiermee beperkt u de beschikbare locaties voor nieuwe resources. Het bijbehorende effect wordt gebruikt om uw geografisch nalevingsvereisten af te dwingen.
- Toegestane SKU's voor virtuele machines (weigeren): geef een set SKU's voor virtuele machines op die u kunt implementeren.
- Voeg een tag toe aan resources (Wijzigen): Hiermee past u een vereiste tag en de standaardwaarde toe als de implementatieaanvraag deze niet opgeeft.
- Niet-toegestane resourcetypen (Weigeren): Hiermee voorkomt u dat een lijst met resourcetypen wordt geïmplementeerd.
Beleidstoewijzing
Beleidsdefinities, of dit nu aangepast of ingebouwd is, moeten worden toegewezen.
Een beleidstoewijzing is een beleidsdefinitie die is toegewezen aan een specifiek bereik. Bereiken kunnen variëren van een beheergroep tot een resourcegroep.
Onderliggende resources nemen alle beleidstoewijzingen over die zijn toegepast op hun ouders.
Dit betekent dat als een beleid wordt toegepast op een resourcegroep, dit wordt gebruikt voor alle resources binnen die resourcegroep.
U kunt echter subbereiken definiëren voor het uitsluiten van resources van beleidstoewijzingen.
U kunt beleidsregels toewijzen via:
- Azure-portal.
- Azure CLI.
- PowerShell.
Herstel
Resources die niet voldoen aan een deployIfNotExists of beleidsvoorwaarde wijzigen , kunnen via herstel in een compatibele status worden geplaatst.
Herstel geeft Azure Policy opdracht om het effect deployIfNotExists of de tagbewerkingen van het beleid op bestaande resources uit te voeren.
Om configuratiedrift te minimaliseren, kunt u resources in overeenstemming brengen met behulp van geautomatiseerd bulkherstel in plaats van ze één voor één door te nemen.
Meer informatie over Azure Policy vindt u op de webpagina van Azure Policy .