Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

  • Artykuł

Zrozumienie sposobu tworzenia zasad i zarządzania nimi na platformie Azure jest ważne, aby zachować zgodność ze standardami firmowymi i umowami dotyczącymi poziomu usług. Z tego samouczka dowiesz się, jak za pomocą usługi Azure Policy wykonywać niektóre bardziej typowe zadania związane z tworzeniem i przypisywaniem zasad oraz zarządzaniem nimi w całej organizacji, na przykład:

  • Przypisywanie zasad w celu wymuszania warunku dla zasobów tworzonych w przyszłości
  • Tworzenie i przypisywanie definicji inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązywanie problemu w przypadku niezgodnego lub odrzuconego zasobu
  • Implementowanie nowych zasad w całej organizacji

Przejrzyj artykuły Szybki start, aby dowiedzieć się, jak przypisać zasady w celu identyfikowania bieżącego stanu zgodności istniejących zasobów.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Przypisywanie zasad

Pierwszym krokiem w celu wymuszenia zgodności za pomocą usługi Azure Policy jest przypisanie definicji zasad. Definicja zasad określa, w jakim przypadku zasady zostaną wymuszone oraz jaki efekt przyniosą. W tym przykładzie przypisz wbudowaną definicję zasad o nazwie Dziedzicz tag z grupy zasobów, jeśli brakuje , aby dodać określony tag z wartością z nadrzędnej grupy zasobów do nowych lub zaktualizowanych zasobów brak tagu.

  1. Przejdź do Azure Portal, aby przypisać zasady. Wyszukaj i wybierz pozycję Zasady.

    Zrzut ekranu przedstawiający wyszukiwanie zasad na pasku wyszukiwania.

  2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy. Przypisanie to zasady, które zostały przypisane do określonego zakresu.

    Zrzut ekranu przedstawiający wybieranie węzła Przypisania na stronie Przegląd zasad.

  3. Wybierz pozycję Przypisz zasady w górnej części strony Zasady — Przypisania.

    Zrzut ekranu przedstawiający wybieranie przycisku

  4. Na stronie Przypisywanie zasad i Podstawy wybierz zakres , wybierając wielokropek i wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, jakie zasoby lub grupy zasobów są wymuszane w ramach przypisania zasad. Następnie wybierz pozycję Wybierz w dolnej części strony Zakres .

    W tym przykładzie użyto subskrypcji Contoso. Twoja subskrypcja będzie inna.

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Możesz filtrować typ definicji zasad do wbudowanej , aby wyświetlić wszystkie opisy i przeczytać ich opisy.

  7. Wybierz pozycję Dziedzicz tag z grupy zasobów, jeśli brakuje. Jeśli nie możesz go od razu znaleźć, wpisz dziedzicz tag do pola wyszukiwania, a następnie naciśnij klawisz ENTER lub wybierz z pola wyszukiwania. Po znalezieniu i wybraniu definicji zasad wybierz pozycję Wybierz w dolnej części strony Dostępne definicje .

    Zrzut ekranu przedstawiający filtr wyszukiwania podczas wybierania definicji zasad.

  8. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw opcję Dziedzicz tag z grupy zasobów, jeśli brakuje. Można również dodać opcjonalny Opis. Opis zawiera szczegóły dotyczące danego przypisania zasad.

  9. Pozostaw opcję Wymuszanie zasad jako Włączone. Po wyłączeniu to ustawienie umożliwia testowanie wyniku zasad bez wyzwalania efektu. Aby uzyskać więcej informacji, zobacz tryb wymuszania.

  10. Pole Przypisane przez jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  11. Wybierz kartę Parametry w górnej części kreatora.

  12. W polu Nazwa tagu wprowadź wartość Środowisko.

  13. Wybierz kartę Korygowanie w górnej części kreatora.

  14. Pozostaw niezaznaczone ustawienie Utwórz zadanie korygowania . To pole umożliwia utworzenie zadania w celu zmiany istniejących zasobów oprócz nowych lub zaktualizowanych zasobów. Aby uzyskać więcej informacji, zobacz Korygowanie zasobów.

  15. Tworzenie tożsamości zarządzanej jest automatycznie sprawdzane, ponieważ ta definicja zasad używa efektu modyfikowania . Uprawnienia są ustawiane na wartość Współautor automatycznie na podstawie definicji zasad. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane i sposób działania kontroli dostępu korygowania.

  16. Wybierz kartę Komunikaty o niezgodności w górnej części kreatora.

  17. Ustaw komunikat o niezgodności na Wartość Ten zasób nie ma wymaganego tagu. Ten niestandardowy komunikat jest wyświetlany, gdy zasób zostanie odrzucony lub w przypadku niezgodnych zasobów podczas regularnej oceny.

  18. Wybierz kartę Przeglądanie i tworzenie w górnej części kreatora.

  19. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Implementowanie nowych zasad niestandardowych

Teraz, gdy wbudowana definicja zasad została przypisana, możesz wykonywać dalsze działania w ramach usługi Azure Policy. Następnie utwórz nowe zasady niestandardowe, aby zaoszczędzić koszty, sprawdzając, czy maszyny wirtualne utworzone w środowisku nie mogą znajdować się w serii G. Dzięki temu za każdym razem, gdy użytkownik w organizacji próbuje utworzyć maszynę wirtualną w serii G, żądanie zostanie odrzucone.

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w obszarze Grupa tworzenia.

  2. Wybierz + Definicja zasad w górnej części strony. Ten przycisk powoduje otwarcie strony Definicja zasad.

  3. Wprowadź następujące informacje:

    • Grupa zarządzania lub subskrypcji, w której zapisano definicję zasad. Wybierz, używając wielokropka w polu Lokalizacja definicji.

      Uwaga

      Jeśli planujesz zastosowanie tej definicji zasad w wielu subskrypcjach, lokalizacja musi być grupą zarządzania zawierającą subskrypcje, do których zostaną przypisane zasady. To samo dotyczy definicji inicjatywy.

    • Nazwa definicji zasad — wymagaj jednostek SKU maszyn wirtualnych, które nie są w serii G

    • Opis definicji zasad do wykonania — ta definicja zasad wymusza, że wszystkie maszyny wirtualne utworzone w tym zakresie mają jednostki SKU inne niż seria G, aby zmniejszyć koszty.

    • Wybierz jedną z istniejących opcji (np. Compute) lub utwórz nową kategorię dla tej definicji zasad.

    • Skopiuj poniższy kod JSON, a następnie zaktualizuj go zgodnie ze swoimi potrzebami przy użyciu następujących danych:

      • Parametry zasad.
      • Reguły/warunki zasad, w tym przypadku — rozmiar jednostki SKU maszyny wirtualnej równy serii G
      • Efekt zasad, w tym przypadku — Odmów.

    Oto, jak powinien wyglądać kod JSON. Wklej poprawiony kod do witryny Azure Portal.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    Właściwość pola w regule zasad musi być obsługiwaną wartością. Pełna lista wartości znajduje się w polach struktury definicji zasad. Przykładem aliasu może być "Microsoft.Compute/VirtualMachines/Size".

    Aby wyświetlić więcej Azure Policy przykładów, zobacz przykłady Azure Policy.

  4. Wybierz pozycję Zapisz.

Tworzenie definicji zasad za pomocą interfejsu API REST

Zasady można utworzyć za pomocą interfejsu API REST dla definicji Azure Policy. Interfejs API REST umożliwia tworzenie i usuwanie definicji zasad oraz uzyskiwanie informacji o istniejących definicjach. Aby utworzyć definicję zasad, skorzystaj z następującego przykładu:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Dołącz treść żądania podobną do poniższego przykładu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Tworzenie definicji zasad za pomocą programu PowerShell

Przed kontynuowaniem pracy z przykładem programu PowerShell upewnij się, że zainstalowano najnowszą wersję modułu Azure PowerShell Az.

Definicję zasad można utworzyć przy użyciu polecenia cmdlet New-AzPolicyDefinition.

Aby utworzyć definicję zasad na podstawie pliku, przekaż ścieżkę do tego pliku. W przypadku pliku zewnętrznego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

W przypadku pliku lokalnego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Dane wyjściowe są zapisywane w obiekcie $definition, który jest używany podczas przypisywania zasad. Poniższy przykład tworzy definicję zasad, która obejmuje parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Wyświetlanie definicji zasad przy użyciu programu PowerShell

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

Get-AzPolicyDefinition

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Tworzenie definicji zasad za pomocą wiersza polecenia platformy Azure

Definicję zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za pomocą az policy definition polecenia . Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Wyświetlanie definicji zasad przy użyciu interfejsu wiersza polecenia platformy Azure

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

az policy definition list

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Tworzenie i przypisywanie definicji inicjatywy

Za pomocą definicji inicjatywy możesz grupować kilka definicji zasad w celu osiągnięcia jednego ogólnego celu. Inicjatywa ocenia zasoby w zakresie przypisania pod kątem zgodności z uwzględnionymi zasadami. Aby uzyskać więcej informacji na temat definicji inicjatyw, zobacz Omówienie usługi Azure Policy.

Tworzenie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w grupie Tworzenie.

  2. Wybierz pozycję + Definicja inicjatywy w górnej części strony, aby otworzyć kreatora definicji inicjatywy .

    Zrzut ekranu przedstawiający stronę definicji inicjatywy i właściwości do ustawienia.

  3. Użyj wielokropka Lokalizacja inicjatywy , aby wybrać grupę zarządzania lub subskrypcję do przechowywania definicji. Jeśli poprzednia strona została ograniczona do pojedynczej grupy zarządzania lub subskrypcji, lokalizacja inicjatywy jest wypełniana automatycznie.

  4. Wprowadź wartości w polach Nazwa i Opis inicjatywy.

    W tym przykładzie zapewniasz, że zasoby są zgodne z definicjami zasad w zakresie uzyskiwania bezpieczeństwa. Dla tej inicjatywy podaj nazwę Uzyskiwanie bezpieczeństwa i opis: Ta inicjatywa została utworzona w celu obsługi wszystkich definicji zasad skojarzonych z zabezpieczaniem zasobów.

  5. W polu Kategoria wybierz jedną z istniejących opcji lub utwórz nową kategorię.

  6. Ustaw wersję dla inicjatywy, taką jak 1.0.

    Uwaga

    Wartość wersji jest ściśle metadana i nie jest używana do aktualizacji ani żadnego procesu przez usługę Azure Policy.

  7. Wybierz pozycję Dalej w dolnej części strony lub kartę Zasady w górnej części kreatora.

  8. Wybierz przycisk Dodaj definicje zasad i przejrzyj listę. Wybierz definicje zasad, które chcesz dodać do tej inicjatywy. W przypadku inicjatywy Get Secure dodaj następujące wbudowane definicje zasad, zaznaczając pole wyboru obok definicji zasad:

    • Dozwolone lokalizacje
    • Program Endpoint Protection powinien być zainstalowany na maszynach
    • Maszyny wirtualne nie mające połączenia z Internetem powinny być chronione przy użyciu sieciowych grup zabezpieczeń
    • Azure Backup należy włączyć dla Virtual Machines
    • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
    • Dodaj lub zastąp tag zasobów (dodaj tę definicję zasad dwa razy)

    Po wybraniu każdej definicji zasad z listy wybierz pozycję Dodaj w dolnej części listy. Ponieważ jest dodawany dwa razy, definicje zasad Dodaj lub zastąp tag w definicjach zasad zasobów otrzymują inny identyfikator odwołania.

    Zrzut ekranu przedstawiający wybrane definicje zasad z identyfikatorem referencyjnym i grupą na stronie definicji inicjatywy.

    Uwaga

    Wybrane definicje zasad można dodać do grup, wybierając co najmniej jedną dodaną definicję i wybierając pozycję Dodaj wybrane zasady do grupy. Grupa musi istnieć najpierw i można ją utworzyć na karcie Grupy kreatora.

  9. Wybierz pozycję Dalej w dolnej części strony lub kartę Grupy w górnej części kreatora. Nowe grupy można dodać z tej karty. W tym samouczku nie dodajemy żadnych grup.

  10. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry inicjatywy w górnej części kreatora. Jeśli chcemy, aby parametr istniał w inicjatywie przekazywania do co najmniej jednej dołączonej definicji zasad, parametr jest zdefiniowany tutaj, a następnie używany na karcie Parametry zasad . W tym samouczku nie dodajemy żadnych parametrów inicjatywy.

    Uwaga

    Po zapisaniu definicji inicjatywy nie można usunąć parametrów inicjatywy z inicjatywy. Jeśli parametr inicjatywy nie jest już potrzebny, usuń go z użycia przez wszystkie parametry definicji zasad.

  11. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry zasad w górnej części kreatora.

  12. Definicje zasad dodane do inicjatywy, które mają parametry, są wyświetlane w siatce. Typ wartości może być "Wartość domyślna", "Ustaw wartość" lub "Użyj parametru inicjatywy". Jeśli wybrano opcję "Ustaw wartość", powiązana wartość zostanie wprowadzona w obszarze Wartości. Jeśli parametr definicji zasad zawiera listę dozwolonych wartości, pole wpisu jest selektorem listy rozwijanej. Jeśli wybrano opcję "Użyj parametru inicjatywy", zostanie wyświetlona lista rozwijana z nazwami parametrów inicjatywy utworzonych na karcie Parametry inicjatywy .

    Zrzut ekranu przedstawiający opcje dozwolonych wartości parametru definicji dozwolonych lokalizacji na karcie parametrów zasad na stronie definicji inicjatywy.

    Uwaga

    W przypadku niektórych parametrów strongType listy wartości nie można określić automatycznie. W takich przypadkach z prawej strony wiersza parametru jest wyświetlany symbol wielokropka. Wybranie go powoduje otwarcie strony "Zakres parametru (<nazwa> parametru)". Na tej stronie wybierz subskrypcję, która ma zostać użyta do podania opcji wartości. Ten zakres parametru jest używany wyłącznie w trakcie tworzenia definicji inicjatywy i nie ma żadnego wpływu na ocenę zasad lub zakres inicjatywy podczas przypisania.

    Ustaw typ wartości "Dozwolone lokalizacje" na "Ustaw wartość" i wybierz pozycję "Wschodnie stany USA 2" z listy rozwijanej. W przypadku dwóch wystąpień tagu dodaj lub zastąp tag definicji zasad zasobów, ustaw parametry nazwy tagu na "Env" i "CostCenter" oraz parametry wartości tagu na "Test" i "Lab", jak pokazano poniżej. Pozostaw pozostałe wartości jako "Wartość domyślna". Użycie tej samej definicji dwukrotnie w inicjatywie, ale z różnymi parametrami, ta konfiguracja dodaje lub zastępuje tag "Env" wartością "Test" i tagiem "CostCenter" z wartością "Lab" dla zasobów w zakresie przypisania.

    Zrzut ekranu przedstawiający wprowadzone opcje dozwolonych wartości parametrów definicji dozwolonych lokalizacji i wartości dla obu zestawów parametrów tagów na karcie parametrów zasad na stronie definicji inicjatywy.

  13. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony lub w górnej części kreatora.

  14. Przejrzyj ustawienia i wybierz pozycję Utwórz.

Tworzenie definicji inicjatywy zasad za pomocą interfejsu wiersza polecenia platformy Azure

Definicję inicjatywy zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za pomocą az policy set-definition polecenia . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego przykładu:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Tworzenie definicji inicjatywy zasad za pomocą Azure PowerShell

Definicję inicjatywy zasad można utworzyć przy użyciu Azure PowerShell za pomocą New-AzPolicySetDefinition polecenia cmdlet . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego pliku definicji inicjatywy zasad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Przypisywanie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

  2. Zlokalizuj poprzednio utworzoną inicjatywę Uzyskiwanie bezpieczeństwa i wybierz ją. Wybierz polecenie Przypisz w górnej części strony, aby otworzyć stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę.

    Zrzut ekranu przedstawiający przycisk

    Możesz również wybrać i wstrzymać (lub kliknąć prawym przyciskiem myszy) w wybranym wierszu lub wybrać wielokropek na końcu wiersza w menu kontekstowym. Następnie wybierz pozycję Przypisz.

    Zrzut ekranu przedstawiający menu kontekstowe dla inicjatywy w celu wybrania funkcji Przypisz.

  3. Wypełnij stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę, wprowadzając następujące przykładowe informacje. Możesz podać własne informacje.

    • Zakres: grupa zarządzania lub subskrypcja, dla której wcześniej została zapisana inicjatywa, staje się wartością domyślną. Można zmienić zakres, aby przypisać inicjatywę do subskrypcji lub grupy zasobów w lokalizacji zapisywania.
    • Wyjątki: skonfiguruj wszystkie zasoby w zakresie, aby zapobiec zastosowaniu wobec nich przypisania inicjatywy.
    • Definicja inicjatywy i Nazwa przypisania: „Uzyskiwanie bezpieczeństwa” (wypełniane wstępnie jako nazwa przypisywanej inicjatywy).
    • Opis: to przypisanie inicjatywy jest dostosowane w celu wymuszenia tej grupy definicji zasad.
    • Wymuszanie zasad: pozostaw wartość domyślną Włączone.
    • Przypisane przez: jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  4. Wybierz kartę Parametry w górnej części kreatora. Jeśli w poprzednich krokach skonfigurowano parametr inicjatywy, ustaw tutaj wartość.

  5. Wybierz kartę Korygowanie w górnej części kreatora. Pozostaw pole Utwórz tożsamość zarządzaną niezaznaczone. To pole musi być zaznaczone, gdy przypisane zasady lub inicjatywa zawiera zasady z właściwością deployIfNotExists lub zmodyfikować efekty. Ponieważ w przypadku zasad stosowanych na potrzeby tego samouczka tak nie jest, pozostaw to pole puste. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane i sposób działania kontroli dostępu korygowania.

  6. Wybierz kartę Przeglądanie i tworzenie w górnej części kreatora.

  7. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Sprawdzanie zgodności początkowej

  1. Wybierz pozycję Zgodność w lewej części strony usługi Azure Policy.

  2. Znajdź inicjatywę Get Secure . Jej Stan zgodności prawdopodobnie nadal ma wartość Nie uruchomiono. Wybierz inicjatywę, aby uzyskać pełne szczegóły przypisania.

    Zrzut ekranu przedstawiający stronę Zgodność inicjatywy z ocenami przydziałów w stanie Nie uruchomiono.

  3. Po ukończeniu przypisania inicjatywy strona zgodności jest aktualizowana — Stan zgodności zmienia wartość na Zgodne.

    Zrzut ekranu przedstawiający stronę Zgodność inicjatywy z ukończonymi ocenami przydziałów i stanem Zgodny.

  4. Wybranie dowolnych zasad na stronie zgodności inicjatywy powoduje otwarcie strony szczegółów zgodności dla tych zasad. Ta strona zawiera szczegółowe informacje dotyczące zgodności na poziomie zasobów.

Usuwanie niezgodnego lub odrzuconego zasobu z zakresu z wykluczeniem

Po przypisaniu inicjatywy zasad w celu wymagania określonej lokalizacji wszelkie zasoby utworzone w innej lokalizacji są odrzucane. W tej sekcji opisano rozwiązywanie odrzuconego żądania utworzenia zasobu przez utworzenie wykluczenia dla pojedynczej grupy zasobów. Wykluczenie uniemożliwia wymuszanie zasad (lub inicjatywy) w tej grupie zasobów. W poniższym przykładzie dowolna lokalizacja jest dozwolona w wykluczonej grupie zasobów. Wykluczenie może dotyczyć subskrypcji, grupy zasobów lub pojedynczego zasobu.

Uwaga

Można również pominąć ocenę zasobu za pomocą wykluczenia z zasad . Aby uzyskać więcej informacji, zobacz Zakres w Azure Policy.

Wdrożenia uniemożliwione przez przypisane zasady lub inicjatywę można wyświetlić w grupie zasobów objętej wdrożeniem: wybierz pozycję Wdrożenia w lewej części strony, a następnie wybierz nazwę wdrożenia wdrożenia, które zakończyło się niepowodzeniem. Zasób, do którego odmówiono dostępu, jest wyświetlany jako Zabroniony. Aby określić zasady lub inicjatywę i przypisanie, które odmówiły zasobu, wybierz pozycję Niepowodzenie. Kliknij tutaj, aby uzyskać szczegółowe informacje —> na stronie Przegląd wdrożenia. W prawej części strony wyświetli się okno z informacjami o błędzie. W obszarze Szczegóły błędu są widoczne identyfikatory GUID powiązanych obiektów zasad.

Zrzut ekranu przedstawiający nieudane wdrożenie, które zostało odrzucone przez przypisanie zasad.

Na stronie Azure Policy: wybierz pozycję Zgodność w lewej części strony i wybierz inicjatywę Uzyskiwanie bezpieczeństwa zasad. Na tej stronie zwiększa się liczba odmowy dla zablokowanych zasobów. Na karcie Zdarzenia znajdują się szczegółowe informacje o tym, kto próbował utworzyć lub wdrożyć zasób, który został odrzucony przez definicję zasad.

Zrzut ekranu przedstawiający kartę Zdarzenia i szczegóły zdarzenia zasad na stronie Zgodność inicjatywy.

W tym przykładzie Trent Baker, jeden z doświadczonych specjalistów firmy Contoso w dziedzinie wirtualizacji, wykonywał swoją pracę. Musimy przyznać Trent miejsce dla wyjątku. Utwórz nową grupę zasobów , LocationsExcluded, a następnie przyznaj jej wyjątek do tego przypisania zasad.

Aktualizacja przypisania z wykluczeniem

  1. W lewej części strony usługi Azure Policy wybierz opcję Przypisania w obszarze Tworzenie.

  2. Przejrzyj wszystkie przypisania zasad i otwórz przypisanie zasad Uzyskiwanie bezpieczeństwa .

  3. Ustaw wykluczenie, wybierając wielokropek i wybierając grupę zasobów, która ma zostać wykluczona, w tym przykładzie pozycje LocationsExcluded . Wybierz pozycję Dodaj do wybranego zakresu , a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający opcję Wykluczenia na stronie Przypisanie inicjatywy w celu dodania wykluczonej grupy zasobów do przypisania zasad.

    Uwaga

    W zależności od definicji zasad i jej wpływu można również udzielić wykluczenia określonym zasobom w grupie zasobów w zakresie przypisania. Jako efekt odmowy został użyty w tym samouczku, nie ma sensu ustawiać wykluczenia dla określonego zasobu, który już istnieje.

  4. Wybierz pozycję Przejrzyj i zapisz , a następnie wybierz pozycję Zapisz.

W tej sekcji rozwiązano problem z odmową żądania przez utworzenie wykluczenia pojedynczej grupy zasobów.

Czyszczenie zasobów

Jeśli skończysz pracę z zasobami z tego samouczka, wykonaj następujące kroki, aby usunąć dowolne z utworzonych powyżej przypisań zasad lub definicji:

  1. Wybierz pozycję Definicje (lub Przypisania, jeśli próbujesz usunąć przypisanie) w obszarze Tworzenie w lewej części strony usługi Azure Policy.

  2. Wyszukaj nowo utworzoną definicję inicjatywy lub zasad (albo przypisanie), którą chcesz usunąć.

  3. Kliknij prawym przyciskiem myszy wiersz albo wybierz wielokropek na końcu definicji lub przypisania, a następnie wybierz pozycję Usuń definicję (lub Usuń przypisanie).

Przegląd

W tym samouczku pomyślnie wykonano następujące czynności:

  • Przypisano zasady w celu wymuszania warunku dla zasobów tworzonych w przyszłości
  • Utworzono i przypisano definicję inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązano problem w przypadku niezgodnego lub odrzuconego zasobu
  • Zaimplementowano nowe zasady w całej organizacji

Następne kroki

Aby dowiedzieć się więcej o strukturach definicji zasad, zapoznaj się z artykułem:

Struktura definicji zasad platformy Azure