Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu genel bakış, Azure İlkesi'nin kuruluş standartlarını zorunlu kılmaya ve uygun ölçekte uyumluluğu değerlendirmeye nasıl yardımcı olduğunu açıklar. Uyumluluk panosu aracılığıyla, ortamın genel durumunu değerlendirmek için toplu bir görünüm sağlar; ayrıca tek tek her kaynak ve her ilke için detaya gitmeye de olanak tanır. Bu pano mevcut kaynaklar için toplu düzeltme, yeni kaynaklar için de otomatik düzeltme eylemleriyle kaynaklarınızı uyumlu hale getirmenize de yardımcı olur.
Not
Düzeltme hakkında daha fazla bilgi için bkz. Azure İlkesi ile uyumlu olmayan kaynakları düzeltme.
Azure İlkesi'nin yaygın kullanım örnekleri kaynak tutarlılığı, mevzuata uyumluluk, güvenlik, maliyet ve yönetim için idare uygulamayı içerir. Başlangıç yapmanıza yardımcı olmak için bu yaygın kullanım örneklerine yönelik ilke tanımları Azure ortamınızda zaten yerleşik olarak sağlanmıştır.
Azure İlkesi ile uygulayabileceğiniz bazı yararlı idare eylemleri şunlardır:
- Ekibinizin Azure kaynaklarını yalnızca izin verilen bölgelere dağıttığına emin olun.
- Taksonomik etiketlerin tutarlı uygulamasını zorunlu kılma.
- Kaynakların log analytics çalışma alanına tanılama günlükleri göndermesini zorunlu tutma.
Azure Arc'ın kullanıma sunulmasıyla ilke tabanlı idarenizi farklı bulut sağlayıcılarına ve hatta yerel veri merkezlerinize genişletebileceğinizi bilmeniz önemlidir.
Tüm Azure İlkesi veriler ve nesneler bekleme sırasında şifrelenir. Daha fazla bilgi için Bekleyen Azure verinin dinlenme halindeyken şifrelenmesi bölümüne bakın.
Genel bakış
Azure İlkesi, bu kaynakların özelliklerini iş kurallarıyla karşılaştırarak Azure'daki kaynakları ve eylemleri değerlendirir. JSON biçiminde açıklanan bu iş kuralları ilke tanımları olarak bilinir. Yönetimi basitleştirmek için, ilke Kümesi olarak da adlandırılan bir ilke girişimi oluşturmak için birkaç iş kuralı birlikte gruplandırılabilir.
İş kurallarınız oluşturulduktan sonra ilke tanımı veya girişimi, Azure'ın desteklediği herhangi bir kaynak kapsamına atanır . Örneğin, yönetim grupları, abonelikler, kaynak grupları veya tek tek kaynaklar. Atama, bu atamanın Resource Manager kapsamındaki tüm kaynaklar için geçerlidir. Gerekirse alt kapsamlar dışlanabilir. Daha fazla bilgi için Azure İlkesinde Kapsam'a bakın.
Azure İlkesi kullanır:Değerlendirmenin bir kaynağın uyumlu olup olmadığını belirlemek için kullandığı mantığı oluşturmak için JSON biçimi. Tanımlar meta verileri ve ilke kuralını içerir. Tanımlanan kural, tam olarak istediğiniz senaryoyla eşleşmesi için işlevleri, parametreleri, mantıksal işleçleri, koşulları ve özellik diğer adlarını kullanabilir. İlke kuralı, atama kapsamında hangi kaynakların değerlendirileceğini belirler.
Değerlendirme sonuçlarını anlama
Kaynaklar, kaynak yaşam döngüsü, ilke atama yaşam döngüsü ve düzenli olarak devam eden uyumluluk değerlendirmesi sırasında belirli zamanlarda değerlendirilir. Kaynağın değerlendirilmesine neden olan saatler veya olaylar şunlardır:
- İlke ataması olan bir kapsamda bir kaynak oluşturulur veya güncelleştirilir.
- Kapsam, bir ilkenin veya girişimin yeni atamasını alır.
- Önceden atanmış bir kapsama dahil olan bir politika veya girişim güncellenir.
- 24 saatte bir gerçekleşen standart uyumluluk değerlendirme döngüsü.
İlke değerlendirmesinin ne zaman ve nasıl gerçekleştiği hakkında ayrıntılı bilgi için bkz . Değerlendirme tetikleyicileri.
Değerlendirme yanıtını denetleme
Uyumlu olmayan kaynakları işlemeye yönelik iş kuralları kuruluşlar arasında büyük ölçüde farklılık gösterir. Bir kuruluşun, platformun uyumlu olmayan bir kaynağa nasıl yanıt vermesini istediğini gösteren örnekler şunlardır:
- Kaynak değişikliğini kabul etmeyin.
- Değişikliği kaynağa günlüğe kaydet.
- Değişiklik öncesinde kaynağı değiştirin.
- Değişiklik sonrasında kaynağı değiştirin.
- İlgili uyumlu kaynakları dağıt.
- Kaynaklar üzerinde eylemleri engelle.
Azure İlkesi, bu iş yanıtlarının her birini etkilerin uygulanmasıyla mümkün kılar. Efektler, ilke tanımının ilke kuralı bölümünde ayarlanır.
Uyumlu olmayan kaynakları düzeltme
Bu etkiler öncelikle kaynak oluşturulduğunda veya güncelleştirildiğinde bir kaynağı etkilese de, Azure İlkesi bu kaynağı değiştirmeye gerek kalmadan mevcut uyumlu olmayan kaynaklarla ilgilenmeyi de destekler. Mevcut kaynakları uyumlu hale getirme hakkında daha fazla bilgi için bkz. Azure İlkesi ile uyumlu olmayan kaynakları düzeltme.
Başlarken
Azure İlkesi ve Azure RBAC
Azure İlkesi ile Azure rol tabanlı erişim denetimi (Azure RBAC) arasında birkaç önemli fark vardır. Azure İlkesi, Resource Manager'da temsil edilen kaynaklardaki özellikleri ve bazı Kaynak Sağlayıcılarının özelliklerini inceleyerek durumu değerlendirir. Azure İlkesi, kaynak durumunun, değişikliği kimin yaptığı veya değişiklik yapma izni olan kişiler için endişe duymadan iş kurallarınızla uyumlu olmasını sağlar. DenyAction etkisi aracılığıyla Azure İlkesi, kaynaklardaki belirli eylemleri de engelleyebilir. İlke tanımları, girişim tanımları ve atamalar gibi bazı Azure İlkesi kaynakları tüm kullanıcılar tarafından görülebilir. Bu tasarım, ortamlarında hangi ilke kurallarının ayarlandığına ilişkin tüm kullanıcılara ve hizmetlere saydamlık sağlar.
Azure RBAC, farklı kapsamlarda kullanıcı eylemlerini yönetmeye odaklanır. Kullanıcı bilgilerine göre bir eylemin denetimi gerekiyorsa Azure RBAC, kullanılacak doğru araçtır. Bir kişinin eylem gerçekleştirme erişimi olsa bile, sonuç uyumlu olmayan bir kaynaksa Azure İlkesi oluşturma veya güncelleştirme işlemini engeller.
Azure RBAC ve Azure İlkesi birleşimi, Azure'da tam kapsamlı denetim sağlar.
Azure İlkesi'de Azure RBAC izinleri
Azure İlkesi iki Kaynak Sağlayıcısı’nda işlemler olarak bilinen bazı izinlere sahiptir:
Birçok yerleşik roller Azure İlkesi kaynaklarına izin verir. Kaynak İlkesi Katkıda Bulunanı rolü, Azure İlkesi işlemlerinin çoğunu içerir. Sahibin tüm hakları vardır. Hem Katkıda Bulunan hem de Okuyucu tüm okuma Azure İlkesi işlemlerine erişebilir.
Katkıda bulunan kaynak düzeltmesini tetikleyebilir, ancak tanımları ve atamaları oluşturamaz veya güncelleştiremez .
Kullanıcı Erişim Yöneticisi, deployIfNotExists veya modify atamalarındaki yönetilen kimliğe gerekli izinleri vermek için gereklidir.
Not
İlke tanımları, girişimleri ve atamaları dahil olmak üzere tüm İlke nesneleri, kapsama alanları içinde tüm roller için okunabilir durumdadır. Örneğin, bir Azure abonelik kapsamına sahip bir İlke ataması, abonelik kapsamındaki ve daha alt düzeydeki tüm rol sahipleri tarafından okunabilir.
Yerleşik rollerden hiçbiri gerekli izinlere sahip değilse, özel bir rol oluşturun.
Azure İlkesi işlemleri Azure ortamınız üzerinde önemli bir etkiye sahip olabilir. Yalnızca bir görevi gerçekleştirmek için gereken en düşük izin kümesini atayın ve yalnızca izin isteyen kullanıcılara bu izinleri verin.
Not
Bir deployIfNotExists veya modify ilke atamasının yönetilen kimliği, hedeflenen kaynakları oluşturmak veya güncellemek için yeterli izinlere ihtiyaç duyar. Daha fazla bilgi için bkz. İlke tanımını yapılandırma.
Azure Sanal Ağ Manager ile Azure İlkesi için özel izin gereksinimi
Azure Virtual Network Manager (önizleme), bulut altyapınız genelinde birden çok Azure sanal ağına tutarlı yönetim ve güvenlik ilkeleri uygulamanızı sağlar. Azure Virtual Network Manager (AVNM) dinamik grupları, bu gruplardaki sanal ağ üyeliğini değerlendirmek için Azure İlkesi tanımlarını kullanır.
Azure Sanal Ağ Manager dinamik grup ilkeleri oluşturmak, düzenlemek veya silmek için şunlar gerekir:
- Temel ilkede Azure RBAC izinlerini okuma ve yazma
- Ağ grubuna katılmak için Azure RBAC izinleri. Klasik Yönetici yetkilendirmesi desteklenmez.
Gerekli izin, kaynak sağlayıcısı iznidir Microsoft.Network/networkManagers/networkGroups/join/action.
Önemli
AVNM dinamik gruplarını değiştirmek için yalnızca Azure RBAC rol ataması aracılığıyla size erişim verilmelidir. Klasik Yönetici veya eski yetkilendirme desteklenmez. Hesabınıza yalnızca Co-Administrator abonelik rolü atanmışsa AVNM dinamik gruplarında izinlere sahip olmazsınız.
Azure İlkesi kapsamındaki kaynaklar
Bir ilke yönetim grubu düzeyinde atanabilir, ancak yalnızca abonelik veya kaynak grubu düzeyindeki kaynaklar değerlendirilir.
Makine yapılandırması, Azure Kubernetes Service ve Azure Key Vault gibi belirli kaynak sağlayıcıları için ayarları ve nesneleri yönetmek için daha derin bir tümleştirme sağlanır. Daha fazla bilgi edinmek için Kaynak Sağlayıcısı modları'na gidin.
İlkeleri yönetme ile ilgili öneriler
Aklınızda bulundurmak için birkaç işaretçi ve ipucu aşağıdadır:
auditveyaauditIfNotExistefektiyle başlayın, ilke tanımınızın ortamınızdaki kaynakları nasıl etkilediğini izlemek için zorlama (deny,modify,deployIfNotExist) efekti yerine. Uygulamalarınızı otomatik ölçeklendirmek için zaten hazır betikleriniz varsa, zorlama etkisi ayarlamak bu tür otomasyon görevlerinin zaten uygulanmasını engelleyebilir.Tanımları ve atamaları oluştururken kuruluş hiyerarşilerini göz önünde bulundurun. Yönetim grubu veya abonelik düzeyi gibi daha yüksek düzeylerde tanımlar oluşturmanızı öneririz. Ardından ödevi bir sonraki alt düzeyde oluşturun. Bir yönetim grubunda tanım oluşturursanız, atamanın kapsamı bu yönetim grubu içindeki bir abonelik veya kaynak grubuna göre daraltılabilir.
Tek bir ilke tanımıyla başlasa bile girişim tanımları oluşturmanızı ve atamanızı öneririz. Bu yöntem, daha sonra yönetecek atama sayısını artırmadan girişime ilke tanımları eklemenize olanak tanır.
Örneğin, ilke tanımı ilkesiDefA oluşturduğunuzu ve girişim tanımı girişimiDefC'ye eklediğinizi düşünün. Daha sonra policyDefA'ya benzer hedeflerle başka bir ilke tanımı ilkesiDefB oluşturursanız, bunu initiativeDefC altına ekleyebilir ve birlikte izleyebilirsiniz.
Bir girişim ataması oluşturduktan sonra, girişime eklenen ilke tanımları da bu girişimin atamalarının bir parçası olur.
Girişim ataması değerlendirildiğinde girişim içindeki tüm ilkeler de değerlendirilir. Bir ilkeyi ayrı ayrı değerlendirmeniz gerekiyorsa, ilkeyi girişime dahil etmemek daha iyidir.
İlke tanımlarında, girişimlerde ve atamalarda yapılan değişiklikler üzerinde el ile yapılan incelemelerle Azure İlkesi kaynakları kod olarak yönetin. Önerilen desenler ve araçlar hakkında daha fazla bilgi edinmek için bkz. Azure İlkesini Kod iş akışları olarak tasarlama.
Azure İlkesi nesneleri
Nesneler ilke tanımlarını, girişim tanımlarını ve atamaları içerir.
İlke tanımı
Azure İlkesi'nde ilke oluşturma ve uygulama yolculuğu, bir ilke tanımı oluşturduğunuzda başlar. Her politika tanımının uygulanan koşulları vardır. Ve koşulların karşılanması durumunda gerçekleşen tanımlı bir etkiye sahiptir.
Azure İlkesi'da, varsayılan olarak kullanılabilen çeşitli yerleşik ilkeler sunuyoruz. Örneğin:
- İzin Verilen Depolama Hesabı SKU'ları (Reddet): Dağıtılan depolama hesabının bir SKU boyutları kümesi içinde olup olmadığını belirler. Bunun etkisi, tanımlı SKU boyutları kümesine bağlı kalmayan tüm depolama hesaplarını reddetmektir.
- İzin Verilen Kaynak Türü (Reddetme): Dağıtabileceğiniz kaynak türlerini tanımlar. Bunun etkisi, bu tanımlı listenin parçası olmayan tüm kaynakları reddetmektir.
- İzin Verilen Konumlar (Reddet): Yeni kaynaklar için kullanılabilir konumları kısıtlar. Etkisi, coğrafi uyumluluk gereksinimlerinizi uygulamak için kullanılmaktadır.
- İzin Verilen Sanal Makine SKU'ları (Reddet): Dağıtabileceğiniz bir sanal makine SKU kümesi belirtir.
- Kaynaklara etiket ekleme (Değiştir): Dağıtım isteği bunu belirtmezse gerekli etiketi ve varsayılan değerini uygular.
- İzin verilmeyen kaynak türleri (Reddet): Kaynak türlerinin listesinin dağıtılmasını engeller.
Bu ilke tanımlarını (hem yerleşik hem de özel tanımlar) uygulamak için bunları atamanız gerekir. Bu ilkelerden herhangi birini Azure portalı, PowerShell veya Azure CLI üzerinden atayabilirsiniz.
İlke değerlendirmesi, ilke ataması veya ilke güncelleştirmeleri gibi birkaç farklı eylemle gerçekleşir. Tam liste için bkz . İlke değerlendirme tetikleyicileri.
İlke tanımlarının yapıları hakkında daha fazla bilgi edinmek için Azure İlkesi tanım yapısı temelleri bölümünü gözden geçirin.
İlke parametreleri, oluşturmanız gereken ilke tanımlarının sayısını azaltarak ilke yönetiminizi basitleştirmeye yardımcı olur. İlke tanımı oluştururken parametreleri belirleyerek bunları daha genel hale getirebilirsiniz. Daha sonra bu ilke tanımını farklı senaryolar için kullanabilirsiniz. Bu işlemi, ilke tanımlarının atamasını yaparken farklı değerler girerek gerçekleştirebilirsiniz. Örneğin, abonelik için bir konum kümesi belirtme.
İlke tanımı oluşturduğunuzda parametreler tanımlanır. Parametrenin tanımı parametre adını ve isteğe bağlı değerleri içerir. Örneğin, konum başlıklı bir ilke için parametre tanımlayabilirsiniz. Daha sonra, ilkenin atamasını yaparken EastUS veya WestUS gibi farklı değerler verebilirsiniz.
İlke parametreleri hakkında daha fazla bilgi için bkz. Azure İlkesi tanım yapısı parametreleri.
Girişim tanımı
Bir girişim tanımı, tek bir kapsamlı hedefe ulaşmak için uyarlanmış politika tanımlarından oluşan bir bütündür. Girişim tanımları, ilke tanımlarının yönetimini ve atanmasını basitleştirir. İlke kümelerini gruplandırıp tek bir öğe haline getirerek basitleştirirler. Örneğin, Bulut için Microsoft Defender örneğinizdeki tüm kullanılabilir güvenlik önerilerini izlemeyi hedefleyerek Bulut için Microsoft Defender'de İzlemeyi Etkinleştirme başlıklı bir girişim oluşturabilirsiniz.
Not
Azure CLI ve Azure PowerShell gibi SDK, girişimlere başvurmak için PolicySet adlı özellikleri ve parametreleri kullanır.
Bu girişimin altında sahip olabileceğiniz ilke tanımlarından bazıları şunlardır:
- Bulut için Microsoft Defender'de şifrelenmemiş SQL Veritabanı izleme - Şifrelenmemiş SQL veritabanlarını ve sunucularını izlemek için.
- Microsoft Defender for Cloud ile OS güvenlik açıklarını izleme - Yapılandırılan temeli karşılamayan sunucuları izlemek için.
- Microsoft Defender for Cloud'da eksik Endpoint Protection'ı izleme - Uç nokta koruma aracısı yüklü olmayan sunucuları izlemek için.
İlke parametreleri gibi, girişim parametreleri de fazlalıkları azaltarak girişim yönetiminin basitleştirilmesine yardımcı olur. Girişim parametreleri, girişim içindeki ilke tanımları tarafından kullanılan parametrelerdir.
Örneğin, aşağıdaki senaryoda her birinin farklı bir parametre türü beklediği ilke tanımları policyA ve policyB ile bir girişim tanımı initiativeC'niz vardır:
| İlke | Parametrenin adı | Parametrenin türü | Not |
|---|---|---|---|
| policyA | allowedLocations |
dizi | Bu parametre, parametre türü dizi olarak tanımlandığından bir değer için dizelerin listesini bekler. |
| policyB | allowedSingleLocation |
Dize | Parametre türü dize olarak tanımlandığından bu parametre bir değer için bir sözcük bekler. |
initiativeC için girişim parametrelerini tanımlarken üç seçeneğiniz vardır:
- Bu girişimdeki ilke tanımlarının parametrelerini kullanın: Bu örnekte initiativeC
allowedLocationsallowedSingleLocationiçin girişim parametreleri haline gelir. - Bu girişim tanımındaki ilke tanımlarının parametrelerine değerler sağlayın. Bu örnekte, policyA parametresine
allowedLocationsve policyB'yeallowedSingleLocationkonumların listesini sağlayabilirsiniz. Bu girişimi atarken de değer sağlayabilirsiniz. - Bu girişimin atamasını yaparken kullanılabilecek bir değer seçenekleri listesi sağlayın. Bu girişimi atadığınızda, girişim dahilindeki ilke tanımlarından alınan parametreler yalnızca bu sağlanan listedeki değerleri alabilir.
Girişim tanımında değer seçenekleri oluşturduğunuzda, girişim ataması sırasında farklı bir değer giremezsiniz çünkü bu, listenin bir parçası değildir.
Girişim tanımlarının yapıları hakkında daha fazla bilgi edinmek için Azure İlkesi girişim tanımı yapısı'nı gözden geçirin.
Atamalar
Atama, belirli bir kapsama atanmış bir ilke tanımı veya girişimidir. Bu kapsam bir yönetim grubundan tek bir kaynağa kadar değişebilir. Kapsam terimi tanımın atandığı tüm kaynakları, kaynak gruplarını, abonelikleri veya yönetim gruplarını ifade eder. Tüm alt kaynaklar atamaları devralır. Bu tasarım, bir kaynak grubuna uygulanan tanımın bu kaynak grubundaki kaynaklara da uygulandığı anlamına gelir. Ancak, alt kapsamı atamanın dışında tutabilirsiniz.
Örneğin, abonelik kapsamında ağ kaynaklarının oluşturulmasını engelleyen bir tanım atayabilirsiniz. Bu abonelikte ağ altyapısına yönelik bir kaynak grubunu dışlayabilirsiniz. Ardından, ağ kaynakları oluştururken güvendiğiniz kullanıcılara bu ağ kaynak grubuna erişim izni verirsiniz.
Başka bir örnekte, yönetim grubu düzeyinde bir kaynak türü izin verilenler listesi tanımı atamak isteyebilirsiniz. Ardından bir alt yönetim grubuna veya doğrudan aboneliklere daha fazla izin veren bir ilke (daha fazla kaynak türüne izin veren) atarsınız. Ancak, Azure İlkesi açık bir reddetme sistemi olduğundan bu örnek işe yaramaz. Bunun yerine, alt yönetim grubunu veya aboneliği yönetim grubu düzeyinde atamanın dışında tutmanız gerekir. Ardından, alt yönetim grubuna veya abonelik düzeyine daha geniş izinler sunan tanımı atayın. Herhangi bir atama bir kaynağın reddedilmesiyle sonuçlanırsa kaynağa izin vermenin tek yolu reddetme atamasını değiştirmektir.
İlke atamaları, kaynakları değerlendirirken her zaman kendilerine atanan tanımın veya girişimin en son durumunu kullanır. Atanmış bir ilke tanımı değiştirilirse, bu tanımın tüm mevcut atamaları değerlendirirken güncelleştirilmiş mantığı kullanır.
Portal aracılığıyla atamaları ayarlama hakkında daha fazla bilgi için bkz . Azure ortamınızda uyumlu olmayan kaynakları tanımlamak için ilke ataması oluşturma. PowerShell ve Azure CLI adımları da mevcuttur. Atama yapısı hakkında bilgi için bkz. Azure İlkesi atama yapısı.
Azure İlkesi nesnelerinin maksimum sayısı
Azure İlkesi için her nesne türü için en fazla sayı vardır. Tanımlar için Kapsam girdisi, yönetim grubu veya abonelik anlamına gelir. Atamalar ve muafiyetler için Kapsam girişi yönetim grubu, abonelik, kaynak grubu veya tek tek kaynak anlamına gelir.
| Konumu | Ne? | Maksimum sayı |
|---|---|---|
| Kapsam | İlke tanımları | 500 |
| Kapsam | Girişim tanımları | 200 |
| Kiracı | Girişim tanımları | 2.500 |
| Kapsam | İlke veya girişim atamaları | 200 |
| Kapsam | Muafiyetler | 1000 |
| İlke tanımı | Parametreler | 20 |
| Girişim tanımı | İlkeler | 1000 |
| Girişim tanımı | Parametreler | 400 |
| İlke veya girişim atamaları | Hariç tutmalar (notScopes) | 400 |
| İlke kuralı | İç içe geçmiş koşullu ifadeler | 512 |
| Düzeltme görevi | Kaynaklar | 50,000 |
| İlke tanımı, inisiyatif veya atama isteği gövdesi | Baytlar | 1.048.576 |
İlke kurallarının koşulların sayısı ve karmaşıklığıyla ilgili daha fazla sınırı vardır. Daha fazla bilgi için bkz. İlke kuralı sınırları.
Sonraki adımlar
Artık Azure İlkesi'ne ve bazı önemli kavramlara genel bir bakış elde ettiğinize göre, hizmet hakkında daha fazla bilgi edinmek için aşağıdaki bağlantıları kullanın.