Compreender as políticas
A aplicação de uma política aos seus recursos com a Política do Azure envolve as seguintes etapas de alto nível:
- A definição de política. Criar uma definição de política.
- Atribuição de políticas. Atribua a definição a um escopo de recursos.
- Ressarcimento. Analise os resultados da avaliação da política e resolva eventuais não conformidades.
Definição de política
Uma definição de política especifica os recursos a avaliar e as ações a tomar para os mesmos. Por exemplo, você pode impedir a implantação de VMs se expostas a um endereço IP público. Você também pode conter um disco rígido específico para implantar VMs para controlar custos. As políticas são definidas no formato JSON (JavaScript Object Notation).
O exemplo a seguir define uma política que limita onde você pode implantar recursos:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
A lista a seguir é um exemplo de definições de política:
- SKUs de conta de armazenamento permitida (Negar): determina se uma conta de armazenamento que está sendo implantada está dentro de um conjunto de tamanhos de SKU. Seu efeito é negar todas as contas de armazenamento que não aderem ao conjunto de tamanhos de SKU definidos.
- Tipo de recurso permitido (Negar): define os tipos de recursos que você pode implantar. Seu efeito é negar todos os recursos que não fazem parte dessa lista definida.
- Locais permitidos (Negar): Restringe os locais disponíveis para novos recursos. O efeito é utilizado para impor os requisitos de geoconformidade.
- SKUs de máquina virtual permitidas (Negar): especifique um conjunto de SKUs de máquina virtual que você pode implantar.
- Adicionar uma tag aos recursos (Modificar): aplica uma tag necessária e seu valor padrão se a solicitação de implantação não a especificar.
- Tipos de recursos não permitidos (Negar): impede que uma lista de tipos de recursos seja implantada.
Atribuição de políticas
Definições de política, sejam elas personalizadas ou internas, precisam ser atribuídas.
Uma atribuição de política é uma definição de política que foi atribuída a um escopo específico. Os escopos podem variar de um grupo de gerenciamento a um grupo de recursos.
Os recursos filhos herdarão todas as atribuições de política aplicadas aos pais.
Isso significa que, se uma política for aplicada a um grupo de recursos, ela será usada a todos os recursos dentro desse grupo de recursos.
No entanto, você pode definir subescopos para excluir recursos de atribuições de política.
Pode atribuir políticas através de:
- Portal do Azure.
- CLI do Azure.
- PowerShell.
Remediação
Os recursos que não seguem uma condição deployIfNotExists ou modificam a política podem ser colocados em um estado compatível por meio da Remediação.
A correção instrui a Política do Azure a executar o efeito deployIfNotExists ou as operações de marca da política em recursos existentes.
Para minimizar o desvio de configuração, você pode colocar os recursos em conformidade usando a correção em massa automatizada em vez de passar por eles um de cada vez.
Você pode ler mais sobre a Política do Azure na página da Web Política do Azure.