Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis usando o Azure PowerShell
O primeiro passo para compreender a conformidade no Azure consiste em identificar o estado dos seus recursos. Neste início rápido, você cria uma atribuição de política para identificar recursos não compatíveis usando o Azure PowerShell. A política é atribuída a um grupo de recursos e audita máquinas virtuais que não usam discos gerenciados. Depois de criar a atribuição de política, você identifica máquinas virtuais não compatíveis.
Os módulos do Azure PowerShell podem ser usados para gerenciar recursos do Azure a partir da linha de comando ou em scripts. Este artigo explica como usar o Azure PowerShell para criar uma atribuição de política.
Ao atribuir uma definição interna de política ou iniciativa, é opcional fazer referência a uma versão. As atribuições de política de definições internas usam como padrão a versão mais recente e herdam automaticamente alterações de versão secundárias, a menos que especificado de outra forma.
Pré-requisitos
- Se não tiver uma conta do Azure, crie uma conta gratuita antes de começar.
- Azure PowerShell.
- Visual Studio Code.
Microsoft.PolicyInsights
deve estar registrado em sua assinatura do Azure. Para registrar um provedor de recursos, você deve ter permissão para registrar provedores de recursos. Essa permissão está incluída nas funções de Colaborador e Proprietário.- Um grupo de recursos com pelo menos uma máquina virtual que não usa discos gerenciados.
Ligar ao Azure
Em uma sessão de terminal do Visual Studio Code, conecte-se ao Azure. Se você tiver mais de uma assinatura, execute os comandos para definir o contexto da sua assinatura. Substitua <subscriptionID>
pelo seu ID da subscrição do Azure.
Connect-AzAccount
# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>
Registar o fornecedor de recursos
Quando um provedor de recursos é registrado, ele está disponível para uso em sua assinatura do Azure.
Para verificar se Microsoft.PolicyInsights
está registado, execute Get-AzResourceProvider
. O provedor de recursos contém vários tipos de recursos. Se o resultado for NotRegistered
executado Register-AzResourceProvider
:
Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
Select-Object -Property ResourceTypes, RegistrationState
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
Para obter mais informações, vá para Get-AzResourceProvider e Register-AzResourceProvider.
Criar atribuição de política
Use os comandos a seguir para criar uma nova atribuição de política para seu grupo de recursos. Este exemplo usa um grupo de recursos existente que contém uma máquina virtual sem discos gerenciados. O grupo de recursos é o escopo para a atribuição de política. Este exemplo usa a definição de política interna Auditar VMs que não usam discos gerenciados.
Execute os seguintes comandos e substitua <resourceGroupName>
pelo nome do grupo de recursos:
$rg = Get-AzResourceGroup -Name '<resourceGroupName>'
$definition = Get-AzPolicyDefinition |
Where-Object { $_.DisplayName -eq 'Audit VMs that do not use managed disks' }
A $rg
variável armazena propriedades para o grupo de recursos e a variável armazena $definition
as propriedades da definição de política. As propriedades são usadas em comandos subsequentes.
Execute o seguinte comando para criar a atribuição de política:
$policyparms = @{
Name = 'audit-vm-managed-disks'
DisplayName = 'Audit VM managed disks'
Scope = $rg.ResourceId
PolicyDefinition = $definition
Description = 'Az PowerShell policy assignment to resource group'
}
New-AzPolicyAssignment @policyparms
A $policyparms
variável usa splatting para criar valores de parâmetros e melhorar a legibilidade. O New-AzPolicyAssignment
comando usa os valores de parâmetro definidos na $policyparms
variável.
Name
Cria o nome da atribuição de política usado noResourceId
.DisplayName
é o nome da atribuição de política e está visível no portal do Azure.Scope
Usa a$rg.ResourceId
propriedade para atribuir a política ao grupo de recursos.PolicyDefinition
Atribui a definição de política armazenada na$definition
variável.Description
pode ser usado para adicionar contexto sobre a atribuição de política.
Os resultados da atribuição de política são semelhantes ao exemplo a seguir:
Name : audit-vm-managed-disks
ResourceId : /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName : audit-vm-managed-disks
ResourceGroupName : {resourceGroupName}
ResourceType : Microsoft.Authorization/policyAssignments
SubscriptionId : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties
Para obter mais informações, vá para New-AzPolicyAssignment.
Se desejar exibir novamente as informações de atribuição de política, execute o seguinte comando:
Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId
Identificar recursos que não estão em conformidade
O estado de conformidade de uma nova atribuição de política leva alguns minutos para se tornar ativo e fornecer resultados sobre o estado da política.
Use o comando a seguir para identificar recursos que não estão em conformidade com a atribuição de política que você criou:
$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}
Get-AzPolicyState @complianceparms
A $complianceparms
variável usa splatting para criar valores de Get-AzPolicyState
parâmetro usados no comando.
ResourceGroupName
Obtém o nome do grupo de recursos da$rg.ResourceGroupName
propriedade.PolicyAssignmentName
Especifica o nome usado quando a atribuição de política foi criada.Filter
Usa uma expressão para localizar recursos que não estão em conformidade com a atribuição de política.
Seus resultados se assemelham ao exemplo a seguir e ComplianceState
mostram NonCompliant
:
Timestamp : 2/14/2024 18:25:37
ResourceId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant : False
SubscriptionId : {subscriptionId}
ResourceType : Microsoft.Compute/virtualMachines
ResourceLocation : {location}
ResourceGroup : {resourceGroupName}
ResourceTags : tbd
PolicyAssignmentName : audit-vm-managed-disks
PolicyAssignmentOwner : tbd
PolicyAssignmentScope : /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
PolicyDefinitionName : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds : {managementGroupId}
ComplianceState : NonCompliant
AdditionalProperties : {[complianceReasonCode, ]}
Para obter mais informações, vá para Get-AzPolicyState.
Clean up resources (Limpar recursos)
Para remover a atribuição de política, execute o seguinte comando:
Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId
Para sair da sessão do Azure PowerShell:
Disconnect-AzAccount
Próximos passos
Neste guia de introdução, atribuiu uma definição de política para identificar recursos incompatíveis no seu ambiente do Azure.
Para saber mais sobre como atribuir políticas que validam a conformidade de recursos, continue para o tutorial.