Share via

Tutorial: Não permitir tipos de recursos em seu ambiente de nuvem

  • Artigo

Um objetivo popular da governança de nuvem é restringir quais tipos de recursos são permitidos no ambiente. As empresas têm muitas motivações por trás das restrições de tipo de recursos. Por exemplo, os tipos de recursos podem ser dispendiosos ou ir contra os padrões e estratégias de negócios. Em vez de usar muitas políticas para tipos de recursos individuais, o Azure Policy oferece duas políticas internas para atingir esse objetivo:

Nome
(Portal do Azure)		 Description Efeito Versão
(GitHub)
Tipos de recursos permitidos Essa política permite especificar os tipos de recursos que sua organização pode implantar. Apenas os tipos de recursos que suportam 'tags' e 'localização' são afetados por esta política. Para restringir todos os recursos, duplique esta política e altere o 'modo' para 'Todos'. negar 1.0.0
Tipos de recursos não permitidos Restrinja quais tipos de recursos podem ser implantados em seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente e, ao mesmo tempo, ajudar a gerenciar custos. Os resultados de conformidade são mostrados apenas para recursos não compatíveis. Auditoria, Negar, Desativado 2.0.0

Neste tutorial, você aplica a política Tipos de recursos não permitidos e gerencia tipos de recursos em escala por meio do portal do Microsoft Azure.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Atribuir a definição de política

A primeira etapa para desabilitar tipos de recursos é atribuir a definição de política Tipos de recursos não permitidos.

  1. Vá para Tipos de recursos não permitidos no portal do Azure.

    Screenshot of definition details screen for 'Not allowed resource types' policy.

  2. Selecione o botão Atribuir na parte superior da página.

  3. Na guia Noções básicas, defina o Escopo selecionando as reticências e escolhendo um grupo de gerenciamento, assinatura ou grupo de recursos. Verifique se o escopo selecionado tem pelo menos um subescopo. Em seguida, clique em Selecionar na parte inferior da página Âmbito.

    Este exemplo utiliza a subscrição da Contoso.

    Nota

    Se você atribuir essa definição de política ao escopo do grupo de gerenciamento raiz, o portal poderá detetar tipos de recursos não permitidos e desabilitá-los na visualização Todos os Serviços para que os usuários do portal estejam cientes da restrição antes de tentar implantar um recurso não permitido.

  4. Os recursos podem ser excluídos com base no Âmbito. As Exclusões começam num nível inferior ao nível do Âmbito. As Exclusões são opcionais. Por isso, deixe-as em branco por enquanto.

  5. O Nome da atribuição é preenchido automaticamente com o nome da definição de política selecionada, mas você pode alterá-lo. Você também pode adicionar uma Descrição opcional para fornecer detalhes sobre essa atribuição de política.

  6. Deixe a aplicação da política como Habilitada. Quando Desabilitado, essa configuração permite testar o resultado da política sem acionar o efeito. Para obter mais informações, consulte modo de imposição.

  7. Atribuído por é preenchido automaticamente com base em quem está conectado. Este campo é opcional,por isso pode introduzir valores personalizados.

  8. Selecione a guia Parâmetros na parte superior do assistente. Este tutorial ignora a guia Avançado .

  9. Para o parâmetro Tipos de recursos não permitidos, use a lista suspensa para pesquisar e selecionar tipos de recursos que não devem ser permitidos em seu ambiente de nuvem.

  10. Esta definição de política não tem os modify efeitos or deployIfNotExists , pelo que não suporta tarefas de correção. Para este tutorial, ignore a guia Remediação .

  11. Selecione a guia Mensagens de não conformidade na parte superior do assistente.

  12. Defina a mensagem de não conformidade como Este tipo de recurso não é permitido. Esta mensagem personalizada é exibida quando um recurso é negado ou para recursos não compatíveis durante a avaliação regular.

  13. Selecione a guia Revisar + criar na parte superior do assistente.

  14. Reveja as suas seleções e, em seguida, selecione Criar na parte inferior da página.

Exibir tipos de recursos desabilitados no portal do Azure

Esta etapa só se aplica quando a política foi atribuída no escopo do grupo de gerenciamento raiz.

Agora que você atribuiu uma definição de política interna, vá para Todos os Serviços. O portal do Azure está ciente dos tipos de recursos não permitidos dessa atribuição de política e os desabilita na página Todos os Serviços . A opção Criar não está disponível para tipos de recursos desativados.

Nota

Se você atribuir essa definição de política ao seu grupo de gerenciamento raiz, os usuários verão a seguinte notificação quando entrarem pela primeira vez ou se a política for alterada depois de entrarem:

Política alterada pelo administrador O administrador fez alterações nas políticas da sua conta. É recomendável atualizar o portal para usar as políticas atualizadas.

Screenshot of disallowed resources in All Services blade.

Criar uma isenção

Agora, suponha que um subescopo deva ter permissão para ter os tipos de recursos desabilitados por essa política. Vamos criar uma isenção nesse escopo para que recursos restritos possam ser implantados lá.

Aviso

Se você atribuir essa definição de política ao escopo do grupo de gerenciamento raiz, o portal do Azure não poderá detetar isenções em escopos de nível inferior. Os recursos não permitidos pela atribuição de política serão exibidos como desabilitados na lista Todos os Serviços e a opção Criar não estará disponível. Mas você pode criar recursos no escopo isento com clientes como a CLI do Azure, o Azure PowerShell ou os modelos do Azure Resource Manager.

  1. Selecione Atribuições em Criação no lado esquerdo da página Azure Policy.

  2. Procure a atribuição de política que criou.

  3. Selecione o botão Criar isenção na parte superior da página.

  4. Na guia Noções básicas, selecione o escopo de isenção, que é o subescopo ao qual os recursos devem ser restringidos por essa atribuição de política.

  5. Preencha o nome da Isenção com o texto desejado e deixe a categoria Isenção como padrão da Renúncia. Não alterne a alternância para a configuração de expiração da isenção, porque essa isenção não será definida para expirar. Opcionalmente, adicione uma descrição de isenção e selecione Rever + criar.

  6. Este tutorial ignora a guia Avançado . Na guia Revisar + criar , selecione Criar.

  7. Para exibir a isenção, selecione Isenções em Criação no lado esquerdo da página Política do Azure.

Agora, seu subescopo pode ter os tipos de recursos não permitidos pela política.

Clean up resources (Limpar recursos)

Se tiver terminado de trabalhar com recursos deste tutorial, use as seguintes etapas para excluir qualquer uma das atribuições ou definições de política criadas neste tutorial:

  1. Selecione Definições (ou Atribuições, se estiver a tentar eliminar uma atribuição) em Criação no lado esquerdo da página Política do Azure.

  2. Procure a nova definição de iniciativa ou de política (ou atribuição) que acabou de remover.

  3. Clique com o botão direito do rato na linha ou selecione as reticências no fim da definição (ou atribuição) e selecione Eliminar definição (ou Eliminar atribuição).

Rever

Neste tutorial conseguiu realizar com êxito as seguintes tarefas:

  • Atribuída a política interna Tipos de recursos não permitidos para negar a criação de tipos de recursos não permitidos
  • Criada uma isenção para essa atribuição de política em um subescopo

Com essa política interna, você especificou tipos de recursos que não são permitidos. A abordagem alternativa, mais restritiva, é especificar os tipos de recursos permitidos usando a política interna Tipos de recursos permitidos.

Nota

Todos os Serviços do portal do Azure só desativarão recursos não especificados na política de tipo de recurso permitido se a estiver definida como All e a mode política for atribuída no grupo de gerenciamento raiz. Isso ocorre porque ele verifica todos os tipos de recursos, independentemente de tags e locations. Se desejar que o portal tenha esse comportamento, duplique a política interna Tipos de recursos permitidos e altere-a de para Alle, em seguida, atribua-a mode ao escopo do grupo de Indexed gerenciamento raiz.

Próximos passos

Para saber mais sobre as estruturas de definições, atribuições e isenções de políticas, consulte estes artigos:

Estruturade definição da Política do Azure Estrutura de atribuição da Política do Azure Estruturade isenção da Política do Azure

Para ver uma lista completa de exemplos de políticas internas, consulte este artigo:

Estrutura de definição do Azure Policy