Azure İlkesi nedir?
Azure İlkesi, kuruluş standartlarının uygulanmasına ve büyük ölçekte uyumluluk değerlendirmesi yapılmasına yardımcı olur. Uyumluluk panosu aracılığıyla, ortamın genel durumunu değerlendirmek için toplu bir görünüm sağlar; ayrıca tek tek her kaynak ve her ilke için detaya gitmeye de olanak tanır. Bu pano mevcut kaynaklar için toplu düzeltme, yeni kaynaklar için de otomatik düzeltme eylemleriyle kaynaklarınızı uyumlu hale getirmenize de yardımcı olur.
Not
Düzeltme hakkında daha fazla bilgi için bkz. Azure İlkesi ile uyumlu olmayan kaynakları düzeltme.
Azure İlkesi'nin yaygın kullanım örnekleri kaynak tutarlılığı, mevzuata uyumluluk, güvenlik, maliyet ve yönetim için idare uygulamayı içerir. Başlangıç yapmanıza yardımcı olmak için bu yaygın kullanım örneklerine yönelik ilke tanımları Azure ortamınızda zaten yerleşik olarak sağlanmıştır.
Özellikle, Azure İlkesi ile uygulayabileceğiniz bazı yararlı idare eylemleri şunlardır:
- Ekibinizin Azure kaynaklarını yalnızca izin verilen bölgelere dağıtmasını sağlama
- Taksonomik etiketlerin tutarlı uygulamasını zorunlu kılma
- Log Analytics çalışma alanına tanılama günlükleri göndermek için kaynak gerektirme
Azure Arc'ın kullanıma sunulmasıyla ilke tabanlı idarenizi farklı bulut sağlayıcılarına ve hatta yerel veri merkezlerinize genişletebileceğinizi bilmeniz önemlidir.
Tüm Azure İlkesi veriler ve nesneler bekleme sırasında şifrelenir. Daha fazla bilgi için bkz . Bekleyen Azure veri şifrelemesi.
Genel bakış
Azure İlkesi, bu kaynakların özelliklerini iş kurallarıyla karşılaştırarak Azure'daki kaynakları ve eylemleri değerlendirir. JSON biçiminde açıklanan bu iş kuralları ilke tanımları olarak bilinir. Yönetimi basitleştirmek için, bir ilke girişimi (bazen policySet olarak da adlandırılır) oluşturmak için birkaç iş kuralı birlikte gruplandırılabilir. İş kurallarınız oluşturulduktan sonra ilke tanımı veya girişimi yönetim grupları, abonelikler, kaynak grupları veya tek tek kaynaklar gibi Azure desteği kaynakların kapsamına atanır. Atama, bu atamanın Resource Manager kapsamındaki tüm kaynaklar için geçerlidir. Gerekirse alt kapsamlar dışlanabilir. Daha fazla bilgi için bkz. Azure İlkesi'de kapsam.
Azure İlkesi kullanır:Değerlendirmenin bir kaynağın uyumlu olup olmadığını belirlemek için kullandığı mantığı oluşturmak için JSON biçimi. Tanımlar meta verileri ve ilke kuralını içerir. Tanımlanan kural, tam olarak istediğiniz senaryoyla eşleşmesi için işlevleri, parametreleri, mantıksal işleçleri, koşulları ve özellik diğer adlarını kullanabilir. İlke kuralı, atama kapsamında hangi kaynakların değerlendirileceğini belirler.
Değerlendirme sonuçlarını anlama
Kaynaklar, kaynak yaşam döngüsü, ilke atama yaşam döngüsü ve düzenli olarak devam eden uyumluluk değerlendirmesi sırasında belirli zamanlarda değerlendirilir. Kaynağın değerlendirilmesine neden olan saatler veya olaylar şunlardır:
- İlke ataması olan bir kapsamda bir kaynak oluşturulur veya güncelleştirilir.
- İlke veya girişim bir kapsama yeni atanır.
- Bir kapsama zaten atanmış olan bir ilke veya girişim güncelleştirilir.
- 24 saatte bir gerçekleşen standart uyumluluk değerlendirme döngüsü sırasında.
İlke değerlendirmesinin ne zaman ve nasıl gerçekleştiği hakkında ayrıntılı bilgi için bkz . Değerlendirme tetikleyicileri.
Değerlendirme yanıtını denetleme
Uyumlu olmayan kaynakları işlemeye yönelik iş kuralları kuruluşlar arasında büyük ölçüde farklılık gösterir. Bir kuruluşun, platformun uyumlu olmayan bir kaynağa nasıl yanıt vermesini istediğini gösteren örnekler şunlardır:
- Kaynak değişikliğini reddetme
- Değişikliği kaynakta günlüğe kaydetme
- Değişiklik öncesinde kaynağı değiştirme
- Değişiklik sonrasında kaynağı değiştirme
- İlgili uyumlu kaynakları dağıtma
- Kaynaklarda eylemleri engelleme
Azure İlkesi, bu iş yanıtlarının her birini etkilerin uygulanmasıyla mümkün kılar. Efektler, ilke tanımının ilke kuralı bölümünde ayarlanır.
Uyumlu olmayan kaynakları düzeltme
Bu etkiler öncelikle kaynak oluşturulduğunda veya güncelleştirildiğinde bir kaynağı etkilese de, Azure İlkesi bu kaynağı değiştirmeye gerek kalmadan mevcut uyumlu olmayan kaynaklarla ilgilenmeyi de destekler. Mevcut kaynakları uyumlu hale getirme hakkında daha fazla bilgi için bkz . Kaynakları düzeltme.
Videoya genel bakış
Aşağıdaki Azure İlkesi genel bakış videosu Build 2018 etkinliğinde kaydedilmiştir. Slaytlar veya video indirme için Channel 9'da Azure İlkesi aracılığıyla Azure ortamınızı yönetme'yi ziyaret edin.
Başlarken
Azure İlkesi ve Azure RBAC
Azure İlkesi ile Azure rol tabanlı erişim denetimi (Azure RBAC) arasında birkaç önemli fark vardır. Azure İlkesi, Resource Manager'da temsil edilen kaynaklardaki özellikleri ve bazı Kaynak Sağlayıcılarının özelliklerini inceleyerek durumu değerlendirir. Azure İlkesi, kaynak durumunun, değişikliği kimin yaptığı veya değişiklik yapma izni olan kişiler için endişe duymadan iş kurallarınızla uyumlu olmasını sağlar. DenyAction etkisi aracılığıyla Azure İlkesi, kaynaklardaki belirli eylemleri de engelleyebilir. İlke tanımları, girişim tanımları ve atamalar gibi bazı Azure İlkesi kaynakları tüm kullanıcılar tarafından görülebilir. Bu tasarım, ortamlarında hangi ilke kurallarının ayarlandığına ilişkin tüm kullanıcılara ve hizmetlere saydamlık sağlar.
Azure RBAC, farklı kapsamlarda kullanıcı eylemlerini yönetmeye odaklanır. Kullanıcı bilgilerine göre bir eylemin denetimi gerekiyorsa Azure RBAC, kullanılacak doğru araçtır. Bir kişinin eylem gerçekleştirme erişimi olsa bile, sonuç uyumlu olmayan bir kaynaksa Azure İlkesi oluşturma veya güncelleştirme işlemini engeller.
Azure RBAC ve Azure İlkesi birleşimi, Azure'da tam kapsamlı denetim sağlar.
Azure İlkesi'de Azure RBAC izinleri
Azure İlkesi iki Kaynak Sağlayıcısı’nda işlemler olarak bilinen bazı izinlere sahiptir:
Birçok yerleşik rol Azure İlkesi kaynaklara izin verir. Kaynak İlkesi Katkıda Bulunanı rolü, Azure İlkesi işlemlerinin çoğunu içerir. Sahibin tüm hakları vardır. Hem Katkıda Bulunan hem de Okuyucu tüm okuma Azure İlkesi işlemlerine erişebilir.
Katkıda bulunan kaynak düzeltmesini tetikleyebilir, ancak tanımları ve atamaları oluşturamaz veya güncelleştiremez. DeployIfNotExists üzerinde yönetilen kimliği vermek veya atamaları gerekli izinleri değiştirmek için Kullanıcı Erişim Yöneticisi gereklidir.
Not
Tanımlar, girişimler ve atamalar dahil olmak üzere tüm İlke nesneleri, kapsamı üzerindeki tüm rollere okunabilir. Örneğin, kapsamı Azure aboneliği olan bir İlke ataması, abonelik kapsamındaki ve altındaki tüm rol sahipleri tarafından okunabilir.
Yerleşik rollerden hiçbiri gerekli izinlere sahip değilse, özel bir rol oluşturun.
Azure İlkesi işlemleri Azure ortamınız üzerinde önemli bir etkiye sahip olabilir. Yalnızca bir görevi gerçekleştirmek için gereken en düşük izin kümesi atanmalı ve bu izinler ihtiyacı olmayan kullanıcılara verilmemelidir.
Not
DeployIfNotExists veya değişiklik ilkesi atamasının yönetilen kimliği, hedeflenen kaynakları oluşturmak veya güncelleştirmek için yeterli izinlere ihtiyaç duyar. Daha fazla bilgi için bkz . Düzeltme için ilke tanımlarını yapılandırma.
Azure Sanal Ağ Manager ile Azure İlkesi için özel izin gereksinimi
Azure Sanal Ağ Manager (önizleme), bulut altyapınız genelinde birden çok Azure sanal ağında (VNet) tutarlı yönetim ve güvenlik ilkeleri uygulamanızı sağlar. Azure Sanal Ağ Manager (AVNM) dinamik grupları, bu gruplardaki sanal ağ üyeliğini değerlendirmek için Azure İlkesi tanımları kullanır.
Azure Sanal Ağ Manager dinamik grup ilkeleri oluşturmak, düzenlemek veya silmek için şunlar gerekir:
- Temel ilkede Azure RBAC izinlerini okuma ve yazma
- Ağ grubuna katılmak için Azure RBAC izinleri (Klasik Yönetici yetkilendirmesi desteklenmez).
Özellikle, gerekli kaynak sağlayıcısı izni şeklindedir Microsoft.Network/networkManagers/networkGroups/join/action
.
Önemli
AVNM dinamik gruplarını değiştirmek için yalnızca Azure RBAC rol ataması aracılığıyla size erişim verilmelidir. Klasik Yönetici/eski yetkilendirme desteklenmez; Bu, hesabınıza yalnızca ortak yönetici abonelik rolü atanmışsa AVNM dinamik grupları üzerinde hiçbir izninizin olmadığı anlamına gelir.
Azure İlkesi kapsamındaki kaynaklar
Bir ilke yönetim grubu düzeyinde atanabilir, ancak yalnızca abonelik veya kaynak grubu düzeyindeki kaynaklar değerlendirilir.
Makine yapılandırması, Azure Kubernetes Service ve Azure Key Vault gibi belirli kaynak sağlayıcıları için ayarları ve nesneleri yönetmek için daha derin bir tümleştirme sağlanır. Daha fazla bilgi edinmek için Kaynak Sağlayıcısı modları'na gidin.
İlkeleri yönetme ile ilgili öneriler
Aklınızda bulundurmak için birkaç işaretçi ve ipucu aşağıdadır:
İlke tanımınızın ortamınızdaki kaynaklar üzerindeki etkisini izlemek için zorlama (
deny
,modify
,deployIfNotExist
) efekti yerine veyaauditIfNotExist
etkisiyleaudit
başlayın. Uygulamalarınızı otomatik ölçeklendirmek için zaten hazır betikleriniz varsa, zorlama etkisi ayarlamak bu tür otomasyon görevlerinin zaten uygulanmasını engelleyebilir.Tanımlar ve atamalar oluştururken kuruluş hiyerarşilerini göz önünde bulundurun. Yönetim grubu veya abonelik düzeyi gibi daha yüksek düzeylerde tanımlar oluşturmanızı öneririz. Ardından ödevi bir sonraki alt düzeyde oluşturun. Bir yönetim grubunda tanım oluşturursanız, atamanın kapsamı bu yönetim grubu içindeki bir abonelik veya kaynak grubuna göre daraltılabilir.
Tek bir ilke tanımıyla başlasa bile girişim tanımları oluşturmanızı ve atamanızı öneririz. Bu, daha sonra yönetecek atama sayısını artırmadan girişime ilke tanımları eklemenize olanak tanır.
Örneğin, ilke tanımı ilkesiDefA oluşturduğunuzu ve girişim tanımı girişimiDefC'ye eklediğinizi düşünün. Daha sonra policyDefA'ya benzer hedeflerle başka bir ilke tanımı ilkesiDefB oluşturursanız, bunu initiativeDefC altına ekleyebilir ve birlikte izleyebilirsiniz.
Bir girişim ataması oluşturduktan sonra, girişime eklenen ilke tanımları da bu girişimin atamalarının bir parçası olur.
Girişim ataması değerlendirildiğinde girişim içindeki tüm ilkeler de değerlendirilir. Bir ilkeyi ayrı ayrı değerlendirmeniz gerekiyorsa, ilkeyi girişime dahil etmemek daha iyidir.
İlke tanımlarında, girişimlerde ve atamalarda yapılan değişiklikler üzerinde el ile yapılan incelemelerle Azure İlkesi kaynakları kod olarak yönetin. Önerilen desenler ve araçlar hakkında daha fazla bilgi edinmek için bkz. Kod İş Akışları olarak tasarım Azure İlkesi.
nesneleri Azure İlkesi
İlke tanımı
Azure İlkesi'nde bir ilke oluşturmak ve uygulamak için önce ilke tanımını oluşturmanız gerekir. Her ilke tanımında, bu ilkelerin uygulandığı koşullar bulunur. Ve koşulların karşılanması durumunda gerçekleşen tanımlı bir etkiye sahiptir.
Azure İlkesi'da, varsayılan olarak kullanılabilen çeşitli yerleşik ilkeler sunuyoruz. Örneğin:
- İzin Verilen Depolama Hesabı SKU'ları (Reddet): Dağıtılan depolama hesabının bir SKU boyutları kümesi içinde olup olmadığını belirler. Bunun etkisi, tanımlı SKU boyutları kümesine bağlı kalmayan tüm depolama hesaplarını reddetmektir.
- İzin Verilen Kaynak Türü (Reddetme): Dağıtabileceğiniz kaynak türlerini tanımlar. Bunun etkisi, bu tanımlı listenin parçası olmayan tüm kaynakları reddetmektir.
- İzin Verilen Konumlar (Reddet): Yeni kaynaklar için kullanılabilir konumları kısıtlar. Sahip olduğu eylem ise coğrafi uyumluluk gereksinimlerinizi uygulamaktır.
- İzin Verilen Sanal Makine SKU'ları (Reddet): Dağıtabileceğiniz bir sanal makine SKU kümesi belirtir.
- Kaynaklara etiket ekleme (Değiştir): Dağıtım isteği tarafından belirtilmemişse gerekli bir etiketi ve varsayılan değerini uygular.
- İzin verilmeyen kaynak türleri (Reddet): Kaynak türlerinin listesinin dağıtılmasını engeller.
Bu ilke tanımlarını (hem yerleşik hem de özel tanımlar) uygulamak için bunları atamanız gerekir. Bu ilkelerden herhangi birini Azure portalı, PowerShell veya Azure CLI üzerinden atayabilirsiniz.
İlke değerlendirmesi, ilke ataması veya ilke güncelleştirmeleri gibi birkaç farklı eylemle gerçekleşir. Tam liste için bkz . İlke değerlendirme tetikleyicileri.
İlke tanımlarının yapıları hakkında daha fazla bilgi edinmek için İlke Tanımı Yapısı adlı makaleye göz atın.
İlke parametreleri, oluşturmanız gereken ilke tanımlarının sayısını azaltarak ilke yönetiminizi basitleştirmeye yardımcı olur. İlke tanımı oluştururken parametreleri belirleyerek bunları daha genel hale getirebilirsiniz. Daha sonra bu ilke tanımını farklı senaryolar için kullanabilirsiniz. Bu işlemi, ilke tanımlarının atamasını yaparken farklı değerler girerek gerçekleştirebilirsiniz. Örneğin, abonelik için bir konum kümesi belirtme.
İlke tanımı oluşturulurken parametreler tanımlanır. Tanımlanan parametreye bir ad ve isteğe bağlı olarak bir değer verilir. Örneğin, konum başlıklı bir ilke için parametre tanımlayabilirsiniz. Daha sonra, ilkenin atamasını yaparken EastUS veya WestUS gibi farklı değerler verebilirsiniz.
İlke parametreleri hakkında daha fazla bilgi için bkz . Tanım yapısı - Parametreler.
Girişim tanımı
Girişim tanımı, tekil bir fazla arşivleme hedefine ulaşmak için uyarlanmış ilke tanımlarından oluşan bir koleksiyondur. Girişim tanımları, ilke tanımlarının yönetimini ve atanmasını basitleştirir. İlke kümelerini gruplandırıp tek bir öğe haline getirerek basitleştirirler. Örneğin, Bulut için Microsoft Defender örneğinizdeki tüm kullanılabilir güvenlik önerilerini izlemeyi hedefleyerek Bulut için Microsoft Defender'de İzlemeyi Etkinleştirme başlıklı bir girişim oluşturabilirsiniz.
Not
Azure CLI ve Azure PowerShell gibi SDK, girişimlere başvurmak için PolicySet adlı özellikleri ve parametreleri kullanır.
Bu girişimin altında sahip olabileceğiniz ilke tanımlarından bazıları şunlardır:
- Bulut için Microsoft Defender'de şifrelenmemiş SQL Veritabanı izleme - Şifrelenmemiş SQL veritabanlarını ve sunucularını izlemek için.
- Bulut için Microsoft Defender işletim sistemi güvenlik açıklarını izleme - Yapılandırılan temeli karşılamayen sunucuları izlemek için.
- Bulut için Microsoft Defender'de eksik Endpoint Protection'ı izleme - Yüklü uç nokta koruma aracısı olmayan sunucuları izlemek için.
İlke parametreleri gibi, girişim parametreleri de fazlalıkları azaltarak girişim yönetiminin basitleştirilmesine yardımcı olur. Girişim parametreleri, girişim içindeki ilke tanımları tarafından kullanılan parametrelerdir.
Örneğin initiativeC adına her biri farklı bir parametre türü bekleyen policyA ve policyB ilke tanımlarına sahip olan bir girişim tanımına sahip olduğunuzu düşünelim:
İlke | Parametrenin adı | Parametrenin türü | Not |
---|---|---|---|
policyA | allowedLocations | dizi | Parametre türü “array” olarak tanımlandığından bu parametre, bir değer için dizilerin bulunduğu bir liste bekler |
policyB | allowedSingleLocation | Dize | Parametre türü “array” olarak tanımlandığından bu parametre, bir değer için bir sözcük bekler |
Bu senaryoda initiativeC için girişim parametreleri tanımlanırken üç seçeneğiniz vardır:
- Bu girişim dahilinde ilke tanımlarının parametrelerini kullanın: Bu örnekte, allowedLocations ve allowedSingleLocation, initiativeC için girişim parametreleri olur.
- Bu girişim tanımındaki ilke tanımlarının parametrelerine değerler sağlayın. Bu örnekte, policyA parametresinin (allowedLocations ve policyB parametresi - allowedSingleLocation) konumların listesini sağlayabilirsiniz. Bu girişimin atamasını yaparken değerleri de sağlayabilirsiniz.
- Bu girişimin atamasını yaparken kullanılabilecek bir değer seçenekleri listesi sağlayın. Bu girişimi atadığınızda, girişim dahilindeki ilke tanımlarından alınan parametreler yalnızca bu sağlanan listedeki değerleri alabilir.
Girişim tanımında değer seçenekleri oluştururken, girişim ataması sırasında farklı bir değer giremezsiniz çünkü bu seçenek listenin bir parçası değildir.
Girişim tanımlarının yapıları hakkında daha fazla bilgi edinmek için Girişim Tanımı Yapısı'nı gözden geçirin.
Atamalar
Atama, belirli bir kapsama atanmış bir ilke tanımı veya girişimidir. Bu kapsam bir yönetim grubundan tek bir kaynağa kadar değişebilir. Kapsam terimi tanımın atandığı tüm kaynakları, kaynak gruplarını, abonelikleri veya yönetim gruplarını ifade eder. Atamalar tüm alt kaynaklar tarafından devralınır. Bu tasarım, bir kaynak grubuna uygulanan tanımın bu kaynak grubundaki kaynaklara da uygulandığı anlamına gelir. Ancak, alt kapsamı atamanın dışında tutabilirsiniz.
Örneğin, abonelik kapsamında ağ kaynaklarının oluşturulmasını engelleyen bir tanım atayabilirsiniz. Bu abonelikte ağ altyapısına yönelik bir kaynak grubunu dışlayabilirsiniz. Ardından, ağ kaynakları oluştururken güvendiğiniz kullanıcılara bu ağ kaynak grubuna erişim izni verirsiniz.
Başka bir örnekte, yönetim grubu düzeyinde bir kaynak türü izin verilenler listesi tanımı atamak isteyebilirsiniz. Ardından bir alt yönetim grubuna ve hatta doğrudan aboneliklere daha izin veren bir ilke (daha fazla kaynak türüne izin verir) atarsınız. Ancak, Azure İlkesi açık bir reddetme sistemi olduğundan bu örnek işe yaramaz. Bunun yerine, alt yönetim grubunu veya aboneliği yönetim grubu düzeyinde atamanın dışında tutmanız gerekir. Ardından, alt yönetim grubuna veya abonelik düzeyine daha izinli tanımı atayın. Herhangi bir atama bir kaynağın reddedilmesiyle sonuçlanırsa kaynağa izin vermenin tek yolu reddetme atamasını değiştirmektir.
İlke atamaları, kaynakları değerlendirirken her zaman kendilerine atanan tanımın veya girişimin en son durumunu kullanır. Zaten atanmış bir ilke tanımı değiştirilirse, bu tanımın tüm mevcut atamaları değerlendirirken güncelleştirilmiş mantığı kullanır.
Portal aracılığıyla atamaları ayarlama hakkında daha fazla bilgi için bkz . Azure ortamınızda uyumlu olmayan kaynakları tanımlamak için ilke ataması oluşturma. PowerShell ve Azure CLI adımları da mevcuttur. Atama yapısı hakkında bilgi için bkz . Atama Yapısı.
en fazla Azure İlkesi nesne sayısı
Azure İlkesi için her nesne türü için en fazla sayı vardır. Tanımlar için Kapsam girdisi, yönetim grubu veya abonelik anlamına gelir. Atamalar ve muafiyetler için Kapsam girişi yönetim grubu, abonelik, kaynak grubu veya tek tek kaynak anlamına gelir.
Konumu | Ne? | Maksimum sayı |
---|---|---|
Kapsam | İlke tanımları | 500 |
Kapsam | Girişim tanımları | 200 |
Kiracı | Girişim tanımları | 2.500 |
Kapsam | İlke veya girişim atamaları | 200 |
Kapsam | Muafiyetler | 1000 |
İlke tanımı | Parametreler | 20 |
Girişim tanımı | İlkeler | 1000 |
Girişim tanımı | Parametreler | 400 |
İlke veya girişim atamaları | Özel durumlar (notScopes) | 400 |
İlke kuralı | İç içe geçmiş koşullular | 512 |
Düzeltme görevi | Kaynaklar | 50,000 |
İlke tanımı, girişim veya atama isteği gövdesi | Bayt | 1.048.576 |
İlke kurallarının koşulların sayısı ve karmaşıklığıyla ilgili daha fazla sınırı vardır. Daha fazla bilgi için daha fazla ayrıntı için İlke kuralı sınırları'na gidin.
Sonraki adımlar
Artık Azure İlkesi ve bazı önemli kavramlar ile ilgili bir genel bakışa sahipsiniz, önerdiğimiz diğer adımları aşağıda bulabilirsiniz:
- İlke tanımı yapısını gözden geçirin.
- Portalı kullanarak bir ilke tanımı atayın.