Поделиться через


Структура определения инициативы Политики Azure

Инициативы дают возможность сгруппировать несколько связанных определений политик, чтобы упростить их назначение и управление ими, так как это позволяет работать с группой как с единым элементом. Например, можно сгруппировать связанные определения политик тегов в одной инициативе. Вместо назначения каждой политики по отдельности вы сможете применить инициативу.

Для создания определения инициативы политики используется JSON. Это определение инициативы политики содержит:

В следующем примере показано, как создать инициативу для обработки двух тегов, costCenter и productName. Для применения значения тега по умолчанию используются две встроенные политики.

{
    "properties": {
        "displayName": "Billing Tags Policy",
        "policyType": "Custom",
        "description": "Specify cost Center tag and product name tag",
        "version" : "1.0.0",
        "metadata": {
            "version": "1.0.0",
            "category": "Tags"
        },
        "parameters": {
            "costCenterValue": {
                "type": "String",
                "metadata": {
                    "description": "required value for Cost Center tag"
                },
                "defaultValue": "DefaultCostCenter"
            },
            "productNameValue": {
                "type": "String",
                "metadata": {
                    "description": "required value for product Name tag"
                },
                "defaultValue": "DefaultProduct"
            }
        },
        "policyDefinitions": [{
                "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/1e30110a-5ceb-460c-a204-c1c3969c6d62",
                "definitionVersion": "1.*.*"
                "parameters": {
                    "tagName": {
                        "value": "costCenter"
                    },
                    "tagValue": {
                        "value": "[parameters('costCenterValue')]"
                    }
                }
            },
            {
                "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
                "parameters": {
                    "tagName": {
                        "value": "costCenter"
                    },
                    "tagValue": {
                        "value": "[parameters('costCenterValue')]"
                    }
                }
            },
            {
                "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/1e30110a-5ceb-460c-a204-c1c3969c6d62",
                "parameters": {
                    "tagName": {
                        "value": "productName"
                    },
                    "tagValue": {
                        "value": "[parameters('productNameValue')]"
                    }
                }
            },
            {
                "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
                "parameters": {
                    "tagName": {
                        "value": "productName"
                    },
                    "tagValue": {
                        "value": "[parameters('productNameValue')]"
                    }
                }
            }
        ]
    }
}

Встроенные компоненты и шаблоны Политики Azure приведены в примерах Политики Azure.

Метаданные

Необязательное свойство metadata сохраняет сведения об определении инициативы политики. Клиенты могут определять любые свойства и значения, полезные для организации, в свойстве metadata. Однако существуют некоторые общие свойства, используемые Политикой Azure и встроенными модулями.

Общие свойства метаданных

  • version (строковый): отслеживает сведения о версии содержимого определения инициативы политики. Для встроенных версий метаданных эта версия метаданных следует свойству версии встроенного. Рекомендуется использовать свойство версии для этой версии метаданных.

  • category (строка): определяет, в какой категории на портале Azure отображается определение политики.

    Примечание.

    Для инициативы Соответствие нормативным требованиям для category должно быть задано Соответствие нормативным требованиям.

  • preview (логический): флаг true или false, если определение инициативы политики — это предварительная версия.

  • deprecated (логический): флаг true или false, если определение инициативы политики помечено как нерекомендуемый.

Версия (предварительная версия)

Встроенные инициативы политики могут размещать несколько версий с definitionIDодинаковыми. Если номер версии не указан, все интерфейсы будут отображать последнюю версию определения. Чтобы просмотреть определенную версию встроенной, ее необходимо указать в API, пакете SDK или пользовательском интерфейсе. Чтобы ссылаться на определенную версию определения в назначении, см . версию определения в рамках назначения.

Служба Политика Azure использует versionи previewdeprecated свойства для передачи состояния и уровня изменений встроенному определению политики или инициативе. Формат version{Major}.{Minor}.{Patch}. Если определение политики находится в состоянии предварительной версии, суффикс предварительного просмотра добавляется к version свойству и рассматривается как логическое значение. Если определение политики устарело, то нерекомендуемое нерекомендуемое выражение фиксируется как логическое значение в метаданных определения с помощью "deprecated": "true".

  • Основная версия (пример: 2.0.0): внесите критические изменения, такие как основные изменения логики правил, удаление параметров, добавление эффекта принудительного применения по умолчанию.
  • Дополнительная версия (пример: 2.1.0): вводятся такие изменения, как незначительные изменения логики правила, добавление новых допустимых параметров, изменение определений ролей, добавление или удаление определений в рамках инициативы.
  • Версия исправления (например, 2.1.4): ввод изменений строк или метаданных и сценариев безопасности с разбиениями стекла (редко).

Встроенные инициативы являются версиями, а также можно ссылаться на определенные версии встроенных определений политик. Дополнительные сведения см . в справочнике по определению и версиям.

Хотя в предварительной версии при создании инициативы на портале вы не сможете указать версии для встроенных ссылок на определения политики. Все встроенные ссылки на политики в пользовательских инициативах, созданных на портале, по умолчанию будут использовать последнюю версию определения политики.

Дополнительные сведения о встроенных версиях Политика Azure см. в разделе "Встроенное управление версиями". Дополнительные сведения о том, что означает, что политика является устаревшей или доступна в виде предварительной версии, см. в разделе Предварительные версии политик и устаревшие политики.

Параметры

Параметры помогают упростить управление политиками за счет сокращения числа определений политик. Параметры можно рассматривать как поля в форме: name, address, city, state. Эти параметры никогда не меняются, однако их значения изменяются в зависимости от того, как пользователь заполняет форму. Точно так же параметры работают при создании инициатив политик. Включив параметры в определение инициативы политики, можно повторно использовать этот параметр во включенных политиках.

Примечание.

После назначения инициативы невозможно изменить параметры уровня инициативы. Из-за этого рекомендуется устанавливать defaultValue при определении параметра.

Свойства параметра

Параметр имеет следующие свойства, которые используются в определении инициативы политики:

  • name: имя параметра. Используется функцией развертывания parameters в правиле политики. Дополнительные сведения см. в разделе об использовании значения параметра.
  • type: определяет, является ли параметр строкой, массивом, объектом, логическим числом, целым числом, float или datetime.
  • metadata: определяет вложенные свойства, в основном используемые портал Azure для отображения понятной для пользователя информации:
    • description: (Необязательно) Объяснение того, для чего используется параметр. Можно использовать для примеров допустимых значений.
    • displayName: понятное имя, отображаемое на портале для параметра.
    • strongType: (Необязательно) Используется при назначении определения политики через портал. Предоставляет список с учетом контекста. См. дополнительные сведения о вложенном свойстве strongType.
  • defaultValue: (необязательно) задает значение параметра в назначении, если значение не задано.
  • allowedValues: (необязательно) Предоставляет массив значений, которые параметр принимает во время назначения.

Например, определение инициативы политики можно установить для ограничения расположения ресурсов в различных включаемых определениях политик. Для такого определения инициативы политики можно использовать параметр allowedLocations. Затем параметр доступен для каждого включенного определения политики и его можно установить во время назначения инициативы политики.

"parameters": {
    "init_allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of allowed locations for resources.",
            "displayName": "Allowed locations",
            "strongType": "location"
        },
        "defaultValue": [ "westus2" ],
        "allowedValues": [
            "eastus2",
            "westus2",
            "westus"
        ]
    }
}

Передача значения параметра в определение политики

Вы определяете, какие из параметров инициативы были переданы, включая определения политик в массиве PolicyDefinitions определения инициативы. Хотя имя параметра может быть одинаковым, использование в инициативах имен, отличных от имен определений политик, упрощает удобочитаемость кода.

Например, параметр инициативы init_allowedLocations, определенный ранее, можно передать в несколько включаемых определений политик и их параметров, sql_locations и vm_locations, следующим образом:

"policyDefinitions": [
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/0ec8fc28-d5b7-4603-8fec-39044f00a92b",
        "policyDefinitionReferenceId": "allowedLocationsSQL",
        "parameters": {
            "sql_locations": {
                "value": "[parameters('init_allowedLocations')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/aa09bd0f-aa5f-4343-b6ab-a33a6a6304f3",
        "policyDefinitionReferenceId": "allowedLocationsVMs",
        "parameters": {
            "vm_locations": {
                "value": "[parameters('init_allowedLocations')]"
            }
        }
    }
]

В этом примере используется параметр init_allowedLocations, который рассматривался в разделе о свойствах параметра.

strongType

В свойстве metadata можно использовать вложенное свойство strongType, чтобы предоставить список для выбора параметров на портале Azure. strongType может быть поддерживаемым типом ресурса или допустимым значением. Чтобы определить, можно ли использовать strongType для того или иного типа ресурса, используйте командлет Get-AzResourceProvider.

Поддерживаются некоторые типы ресурсов, которые не возвращаются Get-AzResourceProvider . Типы ресурсов:

  • Microsoft.RecoveryServices/vaults/backupPolicies

Допустимыми значениями, помимо типов ресурсов для strongType, являются следующие.

  • location
  • resourceTypes
  • storageSkus
  • vmSKUs
  • existingResourceGroups

Определения политик

Часть policyDefinitions определения инициативы — это массив, из которого в инициативу включены существующие определения политик. Как упоминалось в разделе Передача значения параметра в определение политики, это свойство позволяет передавать Параметры инициативы в определение политики.

Свойства определения политики

Каждый элемент массива, представляющий определение политики, имеет следующие свойства.

  • policyDefinitionId (строковый): идентификатор пользовательского или встроенного определения политики для включения.
  • policyDefinitionReferenceId (строковый): краткое имя для определения включаемой политики.
  • parameters (необязательный): пары "имя – значение" для передачи параметра инициативы во включаемое определение политики в качестве свойства в определении политики. Дополнительные сведения см. в разделе Параметры.
  • definitionVersion : (Необязательно) Версия встроенного определения для ссылки. Если ни один из них не указан, он ссылается на последнюю основную версию во время назначения и автоматический прием дополнительных обновлений. Дополнительные сведения см . в разделе "Версия определения"
  • groupNames (строковый массив) (необязательно): группа, элементом которой является определение политики. Дополнительные сведения можно найти в разделе Группы политик.

Ниже приведен пример policyDefinitions с двумя определениями политик, в каждом из которых передан один и тот же параметр инициативы:

"policyDefinitions": [
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/0ec8fc28-d5b7-4603-8fec-39044f00a92b",
        "policyDefinitionReferenceId": "allowedLocationsSQL",
        "definitionVersion": "1.2.*"
        "parameters": {
            "sql_locations": {
                "value": "[parameters('init_allowedLocations')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/aa09bd0f-aa5f-4343-b6ab-a33a6a6304f3",
        "policyDefinitionReferenceId": "allowedLocationsVMs",
        "parameters": {
            "vm_locations": {
                "value": "[parameters('init_allowedLocations')]"
            }
        }
    }
]

Группы определений политик

Определения политик в определении инициативы можно группировать и классифицировать. Функция Соответствие нормативным требованиям (предварительная версия) Политики Azure использует это свойство для группирования определений в элементы управления и домены соответствия. Эти сведения определяются в свойстве массива policyDefinitionGroups. Дополнительные сведения о группировании можно найти в объекте policyMetadata, созданном корпорацией Майкрософт. Дополнительные сведения см. в разделе Объекты метаданных.

Параметры групп определений политик

Каждый элемент массива в policyDefinitionGroups должен иметь оба следующих свойства:

  • name (строковый) обязательный: короткое имя группы. В функции "Соответствие нормативным требованиям" это элемент управления. Значение этого свойства используется groupNames в policyDefinitions.

  • category (строковый): иерархия, к которой принадлежит группа. В функции "Соответствие нормативным требованиям" это домен соответствия элемента управления.

  • displayName (строковый): понятное имя группы или элемента управления. Используется порталом.

  • description (строковый): описание того, что охватывает группа или элемент управления.

  • additionalMetadataId (строковый): расположение объекта policyMetadata, в котором содержатся дополнительные сведения об элементе управления и домене соответствия.

    Примечание.

    Клиенты могут указывать на существующий объект policyMetadata. Однако эти объекты доступны только для чтения и создаются только корпорацией Майкрософт.

Пример свойства policyDefinitionGroups из встроенного определения инициативы NIST выглядит следующим образом:

"policyDefinitionGroups": [
    {
        "name": "NIST_SP_800-53_R4_AC-1",
        "additionalMetadataId": "/providers/Microsoft.PolicyInsights/policyMetadata/NIST_SP_800-53_R4_AC-1"
    }
]

Объекты метаданных

Встроенные системы соответствия нормативным требованиям, созданные корпорацией Майкрософт, содержат дополнительные сведения о каждом элементе управления. Эта информация:

  • Отображается на портале Azure в обзоре элемента управления в инициативе "Соответствие нормативным требованиям".
  • Доступна с помощью REST API. См. сведения о поставщике ресурсов Microsoft.PolicyInsights и группе операций policyMetadata.
  • Доступна с помощью Azure CLI. См. команду az policy metadata.

Внимание

Объекты метаданных для функции "Соответствие нормативным требованиям" доступны только для чтения и не могут быть созданы клиентами.

Метаданные для группирования политики имеют следующие сведения в узле properties:

  • metadataId: идентификатор элемента управления, к которому относится группирование.
  • category (обязательный): домен соответствия, к которому относится элемент управления.
  • title (обязательный): понятное имя идентификатора элемента управления.
  • owner (обязательный): определяет, кто несет ответственность за элемент управления в Azure: Заказчик, Майкрософт, Общий.
  • description: дополнительные сведения об элементе управления.
  • requirements: сведения об ответственности реализации элемента управления.
  • additionalContentUrl: ссылка на дополнительные сведения об элементе управления. Это свойство обычно является ссылкой на раздел документации, посвященный этому элементу управления, в стандарте соответствия.

Ниже приведен пример объекта policyMetadata. Этот пример метаданных относится к элементу управления NIST SP 800-53 R4 AC-1.

{
  "properties": {
    "metadataId": "NIST SP 800-53 R4 AC-1",
    "category": "Access Control",
    "title": "Access Control Policy and Procedures",
    "owner": "Shared",
    "description": "**The organization:**    \na. Develops, documents, and disseminates to [Assignment: organization-defined personnel or roles]:  \n1. An access control policy that addresses purpose, scope, roles, responsibilities, management commitment, coordination among organizational entities, and compliance; and  \n2. Procedures to facilitate the implementation of the access control policy and associated access controls; and  \n
\nb. Reviews and updates the current:  \n1. Access control policy [Assignment: organization-defined frequency]; and  \n2. Access control procedures [Assignment: organization-defined frequency].",
    "requirements": "**a.**  The customer is responsible for developing, documenting, and disseminating access control policies and procedures. The customer access control policies and procedures address access to all customer-deployed resources and customer system access (e.g., access to customer-deployed virtual machines, access to customer-built applications).  \n**b.**  The customer is responsible for reviewing and updating access control policies and procedures in accordance with FedRAMP requirements.",
    "additionalContentUrl": "https://nvd.nist.gov/800-53/Rev4/control/AC-1"
  },
  "id": "/providers/Microsoft.PolicyInsights/policyMetadata/NIST_SP_800-53_R4_AC-1",
  "name": "NIST_SP_800-53_R4_AC-1",
  "type": "Microsoft.PolicyInsights/policyMetadata"
}

Следующие шаги