Udostępnij za pośrednictwem

Samouczek: Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

  • Artykuł

Zrozumienie sposobu tworzenia zasad i zarządzania nimi na platformie Azure jest ważne, aby zachować zgodność ze standardami firmowymi i umowami dotyczącymi poziomu usług. Z tego samouczka dowiesz się, jak za pomocą usługi Azure Policy wykonywać niektóre bardziej typowe zadania związane z tworzeniem i przypisywaniem zasad oraz zarządzaniem nimi w całej organizacji, na przykład:

  • Przypisywanie zasad w celu wymuszania warunku dla zasobów tworzonych w przyszłości
  • Tworzenie i przypisywanie definicji inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązywanie problemu w przypadku niezgodnego lub odrzuconego zasobu
  • Implementowanie nowych zasad w całej organizacji

Przejrzyj artykuły Szybki start, aby dowiedzieć się, jak przypisać zasady w celu identyfikowania bieżącego stanu zgodności istniejących zasobów.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Przypisywanie zasad

Pierwszym krokiem w celu wymuszenia zgodności za pomocą usługi Azure Policy jest przypisanie definicji zasad. Definicja zasad określa, w jakim przypadku zasady zostaną wymuszone oraz jaki efekt przyniosą. W tym przykładzie przypisz wbudowaną definicję zasad o nazwie Dziedzicz tag z grupy zasobów, jeśli brakuje , aby dodać określony tag z wartością z nadrzędnej grupy zasobów do nowych lub zaktualizowanych zasobów, których brakuje tagu.

  1. Przejdź do witryny Azure Portal, aby przypisać zasady. Wyszukaj i wybierz pozycję Zasady.

    Zrzut ekranu przedstawiający wyszukiwanie zasad na pasku wyszukiwania.

  2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy. Przypisanie to zasady, które zostały przypisane do określonego zakresu.

    Zrzut ekranu przedstawiający wybieranie węzła Przypisania na stronie Przegląd zasad.

  3. Wybierz pozycję Przypisz zasady w górnej części zasad | Strona Przypisania.

    Zrzut ekranu przedstawiający wybieranie przycisku

  4. Na stronie Przypisywanie zasad i Podstawy wybierz zakres, wybierając wielokropek i wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, jakie zasoby lub grupy zasobów są wymuszane w ramach przypisania zasad. Następnie wybierz pozycję Wybierz w dolnej części strony Zakres .

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Definicje zasad możesz filtrować, wybierając w polu Typ wartość Wbudowany, aby wyświetlić wszystkie definicje i przeczytać ich opisy.

  7. Wybierz pozycję Dziedzicz tag z grupy zasobów, jeśli brakuje. Jeśli nie możesz go od razu znaleźć, wpisz dziedzicz tag w polu wyszukiwania, a następnie naciśnij ENTER lub wybierz z pola wyszukiwania. Po znalezieniu i wybraniu definicji zasad wybierz pozycję Wybierz w dolnej części strony Dostępne definicje.

    Zrzut ekranu przedstawiający filtr wyszukiwania podczas wybierania definicji zasad.

  8. Wersja jest automatycznie wypełniana do najnowszej wersji głównej definicji i ustawiona na automatyczne określanie wszelkich zmian powodujących niezgodność. Możesz zmienić wersję na inne osoby, jeśli są dostępne lub dostosować ustawienia pozyskiwania, ale nie jest wymagana żadna zmiana. Przesłonięcia są opcjonalne, więc pozostaw je na razie puste.

  9. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw opcję Dziedzicz tag z grupy zasobów, jeśli jej brakuje. Można również dodać opcjonalny Opis. Opis zawiera szczegóły dotyczące danego przypisania zasad.

  10. Pozostaw wymuszanie zasad jako Włączone. Po wyłączeniu to ustawienie umożliwia testowanie wyników zasad bez wyzwalania efektu. Aby uzyskać więcej informacji, zobacz tryb wymuszania.

  11. Wybierz kartę Parametry w górnej części kreatora.

  12. W polu Nazwa tagu wprowadź wartość Środowisko.

  13. Wybierz kartę Korygowanie w górnej części kreatora.

  14. Pozostaw pozycję Utwórz zadanie korygowania niezaznaczone. To pole umożliwia utworzenie zadania w celu zmiany istniejących zasobów oprócz nowych lub zaktualizowanych zasobów. Aby uzyskać więcej informacji, zobacz Korygowanie zasobów.

  15. Tworzenie tożsamości zarządzanej jest automatycznie sprawdzane, ponieważ ta definicja zasad używa efektu modyfikacji . Typ tożsamości zarządzanej jest ustawiony na Przypisano system. Uprawnienia są ustawiane na Wartość Współautor automatycznie na podstawie definicji zasad. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane i sposób działania kontroli dostępu korygowania.

  16. Wybierz kartę Komunikaty o niezgodności w górnej części kreatora.

  17. Ustaw komunikat o niezgodności na Wartość Ten zasób nie ma wymaganego tagu. Ten komunikat niestandardowy jest wyświetlany, gdy zasób zostanie odrzucony lub nie jest zgodny z zasobami podczas regularnej oceny.

  18. Wybierz kartę Przeglądanie i tworzenie w górnej części kreatora.

  19. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Implementowanie nowych zasad niestandardowych

Teraz, gdy wbudowana definicja zasad została przypisana, możesz wykonywać dalsze działania w ramach usługi Azure Policy. Następnie utwórz nowe zasady niestandardowe, aby zaoszczędzić koszty, sprawdzając, czy maszyny wirtualne utworzone w środowisku nie mogą znajdować się w serii G. W ten sposób za każdym razem, gdy użytkownik w organizacji próbuje utworzyć maszynę wirtualną z serii G, żądanie zostanie odrzucone.

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w obszarze Grupa tworzenia.

  2. Wybierz + Definicja zasad w górnej części strony. Ten przycisk powoduje otwarcie strony Definicja zasad.

  3. Wprowadź następujące informacje:

    • Grupa zarządzania lub subskrypcji, w której zapisano definicję zasad. Wybierz, używając wielokropka w polu Lokalizacja definicji.

      Uwaga

      Jeśli planujesz zastosowanie tej definicji zasad w wielu subskrypcjach, lokalizacja musi być grupą zarządzania zawierającą subskrypcje, do których zostaną przypisane zasady. To samo dotyczy definicji inicjatywy.

    • Nazwa definicji zasad — wymagaj jednostek SKU maszyny wirtualnej, które nie są w serii G

    • Opis sposobu działania definicji zasad — ta definicja zasad wymusza, że wszystkie maszyny wirtualne utworzone w tym zakresie mają jednostki SKU inne niż seria G, aby zmniejszyć koszty.

    • Wybierz jedną z istniejących opcji (np. Compute) lub utwórz nową kategorię dla tej definicji zasad.

    • Skopiuj poniższy kod JSON, a następnie zaktualizuj go zgodnie ze swoimi potrzebami przy użyciu następujących danych:

      • Parametry zasad.
      • W tym przypadku reguły/warunki zasad — rozmiar jednostki SKU maszyny wirtualnej równy serii G
      • Efekt zasad, w tym przypadku — Odmów.

    Oto, jak powinien wyglądać kod JSON. Wklej poprawiony kod do witryny Azure Portal.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    Właściwość pola w regule zasad musi być obsługiwaną wartością. Pełna lista wartości znajduje się w polach struktury definicji zasad. Przykładem aliasu może być "Microsoft.Compute/VirtualMachines/Size".

    Aby wyświetlić więcej przykładów usługi Azure Policy, zobacz Przykłady usługi Azure Policy.

  4. Wybierz pozycję Zapisz.

Tworzenie definicji zasad za pomocą interfejsu API REST

Zasady można utworzyć za pomocą interfejsu API REST dla definicji usługi Azure Policy. Interfejs API REST umożliwia tworzenie i usuwanie definicji zasad oraz uzyskiwanie informacji o istniejących definicjach. Aby utworzyć definicję zasad, skorzystaj z następującego przykładu:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Dołącz treść żądania podobną do poniższego przykładu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Tworzenie definicji zasad za pomocą programu PowerShell

Przed kontynuowaniem pracy z przykładem programu PowerShell upewnij się, że zainstalowano najnowszą wersję modułu Az programu Azure PowerShell.

Definicję zasad można utworzyć przy użyciu polecenia cmdlet New-AzPolicyDefinition.

Aby utworzyć definicję zasad na podstawie pliku, przekaż ścieżkę do tego pliku. W przypadku pliku zewnętrznego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

W przypadku pliku lokalnego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Dane wyjściowe są zapisywane w obiekcie $definition, który jest używany podczas przypisywania zasad. Poniższy przykład tworzy definicję zasad, która obejmuje parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Wyświetlanie definicji zasad przy użyciu programu PowerShell

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

Get-AzPolicyDefinition

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Tworzenie definicji zasad za pomocą wiersza polecenia platformy Azure

Definicję zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za az policy definition pomocą polecenia . Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Wyświetlanie definicji zasad przy użyciu interfejsu wiersza polecenia platformy Azure

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

az policy definition list

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "version": "1.0.0"
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Tworzenie i przypisywanie definicji inicjatywy

Za pomocą definicji inicjatywy możesz grupować kilka definicji zasad w celu osiągnięcia jednego ogólnego celu. Inicjatywa ocenia zasoby w zakresie przypisania pod kątem zgodności z uwzględnionymi zasadami. Aby uzyskać więcej informacji na temat definicji inicjatyw, zobacz Omówienie usługi Azure Policy.

Tworzenie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w grupie Tworzenie.

  2. Wybierz pozycję + Definicja inicjatywy w górnej części strony, aby otworzyć kreatora definicji inicjatywy.

    Zrzut ekranu przedstawiający stronę definicji inicjatywy i właściwości do ustawienia.

  3. Użyj wielokropka Lokalizacja inicjatywy, aby wybrać grupę zarządzania lub subskrypcję do przechowywania definicji. Jeśli poprzednia strona została ograniczona do pojedynczej grupy zarządzania lub subskrypcji, lokalizacja inicjatywy zostanie automatycznie wypełniona.

  4. Wprowadź wartości w polach Nazwa i Opis inicjatywy.

    W tym przykładzie zapewniasz, że zasoby są zgodne z definicjami zasad w zakresie uzyskiwania bezpieczeństwa. Dla tej inicjatywy podaj nazwę Uzyskiwanie bezpieczeństwa i opis: Ta inicjatywa została utworzona w celu obsługi wszystkich definicji zasad skojarzonych z zabezpieczaniem zasobów.

  5. W polu Kategoria wybierz jedną z istniejących opcji lub utwórz nową kategorię.

  6. Ustaw wersję dla inicjatywy, na przykład 1.0.

    Uwaga

    Wartość wersji jest ściśle metadana i nie jest używana do aktualizacji ani żadnego procesu przez usługę Azure Policy.

  7. Wybierz pozycję Dalej w dolnej części strony lub kartę Zasady w górnej części kreatora.

  8. Wybierz przycisk Dodaj definicje zasad i przejrzyj listę. Wybierz definicje zasad, które chcesz dodać do tej inicjatywy. W przypadku inicjatywy Get Secure dodaj następujące wbudowane definicje zasad, zaznaczając pole wyboru obok definicji zasad:

    • Dozwolone lokalizacje
    • Program Endpoint Protection powinien być zainstalowany na maszynach
    • Maszyny wirtualne nie mające połączenia z Internetem powinny być chronione przy użyciu sieciowych grup zabezpieczeń
    • Usługa Azure Backup powinna być włączona dla maszyn wirtualnych
    • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
    • Dodaj lub zastąp tag zasobów (dodaj tę definicję zasad dwa razy)

    Po wybraniu każdej definicji zasad z listy wybierz pozycję Dodaj w dolnej części listy. Ponieważ jest dodawany dwa razy, dodaj lub zastąp tag definicji zasad zasobów , z których każda uzyska inny identyfikator odwołania.

    Zrzut ekranu przedstawiający wybrane definicje zasad z identyfikatorem odwołania i grupą na stronie definicji inicjatywy.

    Uwaga

    Wybrane definicje zasad można dodać do grup, wybierając co najmniej jedną dodaną definicję i wybierając pozycję Dodaj wybrane zasady do grupy. Grupa musi istnieć najpierw i można ją utworzyć na karcie Grupy kreatora.

  9. Wybierz pozycję Dalej w dolnej części strony lub kartę Grupy w górnej części kreatora. Na tej karcie można dodać nowe grupy. W tym samouczku nie dodajemy żadnych grup.

  10. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry inicjatywy w górnej części kreatora. Jeśli chcemy, aby parametr istniał w inicjatywie przekazywania do co najmniej jednej dołączonej definicji zasad, parametr jest zdefiniowany tutaj, a następnie używany na karcie Parametry zasad. W tym samouczku nie dodajemy żadnych parametrów inicjatywy.

    Uwaga

    Po zapisaniu definicji inicjatywy nie można usunąć parametrów inicjatywy z inicjatywy. Jeśli parametr inicjatywy nie jest już potrzebny, usuń go z użycia przy użyciu dowolnych parametrów definicji zasad.

  11. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry zasad w górnej części kreatora.

  12. Definicje zasad dodane do inicjatywy, które mają parametry, są wyświetlane w siatce. Typ wartości może mieć wartość "Wartość domyślna", "Ustaw wartość" lub "Użyj parametru inicjatywy". Jeśli wybrano opcję "Ustaw wartość", powiązana wartość zostanie wprowadzona w obszarze Wartości. Jeśli parametr w definicji zasad zawiera listę dozwolonych wartości, pole wprowadzania jest selektorem listy rozwijanej. Jeśli wybrano opcję "Użyj parametru inicjatywy", zostanie wyświetlona lista rozwijana z nazwami parametrów inicjatywy utworzonych na karcie Parametry inicjatywy.

    Zrzut ekranu przedstawiający opcje dozwolonych wartości parametru definicji dozwolonych lokalizacji na karcie parametrów zasad na stronie definicji inicjatywy.

    Uwaga

    W przypadku niektórych parametrów strongType listy wartości nie można określić automatycznie. W takich przypadkach z prawej strony wiersza parametru jest wyświetlany symbol wielokropka. Wybranie go powoduje otwarcie strony "Zakres parametru (<nazwa> parametru)". Na tej stronie wybierz subskrypcję, która ma zostać użyta do podania opcji wartości. Ten zakres parametru jest używany wyłącznie w trakcie tworzenia definicji inicjatywy i nie ma żadnego wpływu na ocenę zasad lub zakres inicjatywy podczas przypisania.

    Ustaw typ wartości "Dozwolone lokalizacje" na wartość "Ustaw wartość" i wybierz pozycję "Wschodnie stany USA 2" z listy rozwijanej. Dla dwóch wystąpień dodaj lub zastąp tag definicji zasad zasobów , ustaw parametry nazwy tagu na "Env" i "CostCenter" oraz parametry Wartość tagu na "Test" i "Laboratorium", jak pokazano poniżej. Pozostaw pozostałe wartości jako "Wartość domyślna". Używając tej samej definicji dwa razy w inicjatywie, ale z różnymi parametrami ta konfiguracja dodaje lub zastępuje tag "Env" wartością "Test" i tagem "CostCenter" z wartością "Lab" w zasobach w zakresie przypisania.

    Zrzut ekranu przedstawiający wprowadzone opcje dozwolonych wartości parametrów definicji dozwolonych lokalizacji i wartości dla obu zestawów parametrów tagów na karcie parametrów zasad na stronie definicji inicjatywy.

  13. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony lub w górnej części kreatora.

  14. Przejrzyj ustawienia i wybierz pozycję Utwórz.

Tworzenie definicji inicjatywy zasad za pomocą interfejsu wiersza polecenia platformy Azure

Definicję inicjatywy zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za az policy set-definition pomocą polecenia . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego przykładu:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Tworzenie definicji inicjatywy zasad za pomocą programu Azure PowerShell

Definicję inicjatywy zasad można utworzyć przy użyciu programu Azure PowerShell z poleceniem New-AzPolicySetDefinition cmdlet . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego pliku definicji inicjatywy zasad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Przypisywanie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

  2. Zlokalizuj poprzednio utworzoną inicjatywę Uzyskiwanie bezpieczeństwa i wybierz ją. Wybierz polecenie Przypisz w górnej części strony, aby otworzyć stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę.

    Zrzut ekranu przedstawiający przycisk

    Możesz również wybrać i wstrzymać (lub kliknąć prawym przyciskiem myszy) w wybranym wierszu lub wybrać wielokropek na końcu wiersza w menu kontekstowym. Następnie wybierz opcję Przypisz.

    Zrzut ekranu przedstawiający menu kontekstowe inicjatywy w celu wybrania funkcji Przypisz.

  3. Wypełnij stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę, wprowadzając następujące przykładowe informacje. Możesz podać własne informacje.

    • Zakres: grupa zarządzania lub subskrypcja, w której zapisano inicjatywę, staje się domyślna. Zakres można zmienić, aby przypisać inicjatywę do subskrypcji lub grupy zasobów w zapisanej lokalizacji.
    • Wyjątki: skonfiguruj wszystkie zasoby w zakresie, aby zapobiec zastosowaniu wobec nich przypisania inicjatywy.
    • Definicja inicjatywy i Nazwa przypisania: „Uzyskiwanie bezpieczeństwa” (wypełniane wstępnie jako nazwa przypisywanej inicjatywy).
    • Opis: to przypisanie inicjatywy jest dostosowane w celu wymuszenia tej grupy definicji zasad.
    • Wymuszanie zasad: pozostaw wartość domyślną Włączone.
    • Przypisane przez: jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  4. Wybierz kartę Parametry w górnej części kreatora. Jeśli skonfigurowano parametr inicjatywy w poprzednich krokach, ustaw tutaj wartość.

  5. Wybierz kartę Korygowanie w górnej części kreatora. Pozostaw pole Utwórz tożsamość zarządzaną niezaznaczone. To pole musi być zaznaczone, gdy przypisane zasady lub inicjatywa zawiera zasady z właściwością deployIfNotExists lub modyfikują efekty. Ponieważ w przypadku zasad stosowanych na potrzeby tego samouczka tak nie jest, pozostaw to pole puste. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane i sposób działania kontroli dostępu korygowania.

  6. Wybierz kartę Przeglądanie i tworzenie w górnej części kreatora.

  7. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Sprawdzanie zgodności początkowej

  1. Wybierz pozycję Zgodność w lewej części strony usługi Azure Policy.

  2. Znajdź inicjatywę Uzyskaj bezpieczeństwo. Jej Stan zgodności prawdopodobnie nadal ma wartość Nie uruchomiono. Wybierz inicjatywę, aby uzyskać pełne szczegóły przypisania.

    Zrzut ekranu przedstawiający stronę zgodność inicjatywy z ocenami przydziałów w stanie Nie uruchomiono.

  3. Po ukończeniu przypisania inicjatywy strona zgodności jest aktualizowana — Stan zgodności zmienia wartość na Zgodne.

    Zrzut ekranu przedstawiający ukończone oceny przydziałów i stan Zgodność z inicjatywą.

  4. Wybranie jakichkolwiek zasad na stronie zgodności inicjatywy powoduje otwarcie strony szczegółów zgodności dla tych zasad. Ta strona zawiera szczegółowe informacje dotyczące zgodności na poziomie zasobów.

Usuwanie niezgodnego lub odrzuconego zasobu z zakresu z wykluczeniem

Po przypisaniu inicjatywy zasad w celu wymagania określonej lokalizacji wszelkie zasoby utworzone w innej lokalizacji są odrzucane. W tej sekcji opisano rozwiązywanie odrzuconego żądania utworzenia zasobu przez utworzenie wykluczenia w pojedynczej grupie zasobów. Wykluczenie uniemożliwia wymuszanie zasad (lub inicjatywy) w tej grupie zasobów. W poniższym przykładzie dowolna lokalizacja jest dozwolona w wykluczonej grupie zasobów. Wykluczenie może dotyczyć subskrypcji, grupy zasobów lub pojedynczego zasobu.

Uwaga

Można również użyć wykluczenia z zasad pomijania oceny zasobu. Aby uzyskać więcej informacji, zobacz Zakres w usłudze Azure Policy.

Wdrożenia uniemożliwione przez przypisane zasady lub inicjatywę można wyświetlić w grupie zasobów objętej wdrożeniem: wybierz pozycję Wdrożenia po lewej stronie, a następnie wybierz nazwę wdrożenia wdrożenia. Zasób, do którego odmówiono dostępu, jest wyświetlany jako Zabroniony. Aby określić zasady lub inicjatywę i przypisanie, które zaprzeczyły zasobowi, wybierz pozycję Niepowodzenie. Kliknij tutaj, aby uzyskać szczegółowe informacje —> na stronie Przegląd wdrożenia. W prawej części strony wyświetli się okno z informacjami o błędzie. W obszarze Szczegóły błędu są widoczne identyfikatory GUID powiązanych obiektów zasad.

Zrzut ekranu przedstawiający nieudane wdrożenie, które zostało odrzucone przez przypisanie zasad.

Na stronie Azure Policy: wybierz pozycję Zgodność po lewej stronie i wybierz inicjatywę Uzyskiwanie bezpieczeństwa zasad. Na tej stronie występuje wzrost liczby odmowy dla zablokowanych zasobów. Na karcie Zdarzenia znajdują się szczegółowe informacje o tym, kto próbował utworzyć lub wdrożyć zasób, który został odrzucony przez definicję zasad.

Zrzut ekranu przedstawiający kartę Zdarzenia i szczegóły zdarzenia zasad na stronie Zgodność inicjatywy.

W tym przykładzie Trent Baker, jeden z doświadczonych specjalistów firmy Contoso w dziedzinie wirtualizacji, wykonywał swoją pracę. Musimy przyznać Trent miejsce dla wyjątku. Utwórz nową grupę zasobów, LocationsExcluded, a następnie przyznaj jej wyjątek od tego przypisania zasad.

Aktualizacja przypisania z wykluczeniem

  1. W lewej części strony usługi Azure Policy wybierz opcję Przypisania w obszarze Tworzenie.

  2. Przejrzyj wszystkie przypisania zasad i otwórz przypisanie zasad Get Secure .

  3. Ustaw pozycję Wykluczenie, wybierając wielokropek i wybierając grupę zasobów do wykluczenia, w tym przykładzie pozycje LocationsExcluded . Wybierz pozycję Dodaj do wybranego zakresu , a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający opcję Wykluczenia na stronie Przypisanie inicjatywy w celu dodania wykluczonej grupy zasobów do przypisania zasad.

    Uwaga

    W zależności od definicji zasad i jej wpływu wykluczenie może być również przyznane określonym zasobom w grupie zasobów w zakresie przypisania. Ponieważ w tym samouczku użyto efektu Odmów, nie ma sensu ustawiać wykluczenia dla określonego zasobu, który już istnieje.

  4. Wybierz pozycję Przejrzyj i zapisz , a następnie wybierz pozycję Zapisz.

W tej sekcji rozwiązano problem z odmową żądania przez utworzenie wykluczenia pojedynczej grupy zasobów.

Czyszczenie zasobów

Jeśli skończysz pracę z zasobami z tego samouczka, wykonaj następujące kroki, aby usunąć dowolne z powyższych przypisań zasad lub definicji:

  1. Wybierz pozycję Definicje (lub Przypisania, jeśli próbujesz usunąć przypisanie) w obszarze Tworzenie w lewej części strony usługi Azure Policy.

  2. Wyszukaj nowo utworzoną definicję inicjatywy lub zasad (albo przypisanie), którą chcesz usunąć.

  3. Kliknij prawym przyciskiem myszy wiersz albo wybierz wielokropek na końcu definicji lub przypisania, a następnie wybierz pozycję Usuń definicję (lub Usuń przypisanie).

Wykonaj przegląd

W tym samouczku pomyślnie wykonano następujące czynności:

  • Przypisano zasady w celu wymuszania warunku dla zasobów tworzonych w przyszłości
  • Utworzono i przypisano definicję inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązano problem w przypadku niezgodnego lub odrzuconego zasobu
  • Zaimplementowano nowe zasady w całej organizacji

Następne kroki

Aby dowiedzieć się więcej o strukturach definicji zasad, zapoznaj się z artykułem:

Struktura definicji zasad platformy Azure