Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando se asigna una directiva de Azure Policy, si se encuentra en la categoría Guest Configuration, se incluyen metadatos para describir una asignación de invitado.
Hay disponible un tutorial de vídeo de este documento.
Puede considerar una asignación de invitado como un vínculo entre una máquina y un escenario de Azure Policy. Por ejemplo, el fragmento de código siguiente asocia la configuración de línea base de Windows de Azure con la versión 1.0.0 mínima a cualquier máquina en el ámbito de la directiva.
"metadata": {
"category": "Guest Configuration",
"guestConfiguration": {
"name": "AzureWindowsBaseline",
"version": "1.*"
}
//additional metadata properties exist
}
Cómo usa Azure Policy las asignaciones de configuración de máquinas
El servicio de configuración de la máquina usa la información de metadatos para crear automáticamente un recurso de auditoría para las definiciones con efectos de la política AuditIfNotExists o DeployIfNotExists. El tipo de recurso es Microsoft.GuestConfiguration/guestConfigurationAssignments. Azure Policy usa la propiedad complianceStatus del recurso de asignación de invitado para notificar el estado de cumplimiento. Para obtener más información, consulte Obtención de datos de cumplimiento.
Nota:
Al asignar una directiva personalizada que implemente una configuración de invitado, la propiedad assignmentType del recurso de asignación de invitado puede aparecer temporalmente como "Null" antes de actualizarse para reflejar el valor especificado en la definición de directiva. Este es el comportamiento esperado y normalmente se resuelve en un plazo de una hora.
Eliminación de asignaciones de invitados de Azure Policy
Cuando se elimina una asignación de Azure Policy, si la directiva creó una asignación de configuración de máquina, también se elimina la asignación de configuración de la máquina.
Cuando se elimina una asignación de Azure Policy de una iniciativa, debe eliminar manualmente las asignaciones de configuración de máquina virtual que creó la directiva. Para ello, vaya a la página asignaciones de invitados en Azure Portal y elimine la asignación allí.
Creación manual de asignaciones de configuración de máquinas
Puede crear recursos de asignación de invitados en Azure Resource Manager mediante Azure Policy o cualquier SDK de cliente.
Una plantilla de implementación de ejemplo:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"apiVersion": "2021-01-25",
"type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments",
"name": "myMachine/Microsoft.GuestConfiguration/myConfig",
"location": "westus2",
"properties": {
"guestConfiguration": {
"name": "myConfig",
"contentUri": "https://mystorageaccount.blob.core.windows.net/mystoragecontainer/myConfig.zip?sv=SASTOKEN",
"contentHash": "SHA256HASH",
"version": "1.0.0",
"assignmentType": "ApplyAndMonitor",
"configurationParameter": [
"name":"configurationName",
"value":"configurationValue"
]
}
}
}
]
}
Ejemplo de configurationParameter:
"configurationParameter": [
{
"name": "[SecureWebServer]s1;MinimumTLSVersion",
"value": "1.2"
}
],
En la tabla siguiente se describe cada propiedad de los recursos de asignación de invitados.
| Propiedad | Description |
|---|---|
| name | Nombre de la configuración dentro del archivo MOF del paquete de contenido. |
| contentUri | Ruta de acceso del URI HTTPS al paquete de contenido (.zip). |
| contentHash | Valor de hash SHA256 del contenido del paquete, utilizado para verificar que no ha cambiado. |
| version | Versión del paquete de contenido. Solo se usa para paquetes integrados y no se usa para paquetes de contenido personalizados. |
| tipoDeAsignación | Comportamiento de la asignación. Valores permitidos: Audit, ApplyandMonitor y ApplyandAutoCorrect. |
| configurationParameter | Lista de tipo de recurso, nombre y valor de DSC del archivo MOF del paquete de contenido que se va a invalidar después de descargarse en la máquina. |
Eliminación de asignaciones de configuración de máquinas creadas manualmente
Debe eliminar manualmente las asignaciones de configuración de la máquina creadas a través de cualquier enfoque manual (como una implementación de plantillas de Azure Resource Manager). Al eliminar el recurso primario (máquina virtual o máquina habilitada para Arc), también se elimina la asignación de configuración de la máquina.
Para eliminar manualmente una asignación de configuración de máquina, use el ejemplo siguiente. Asegúrese de reemplazar todas las cadenas de ejemplo, indicadas por <> corchetes.
# First get details about the machine configuration assignment
$resourceDetails = @{
ResourceGroupName = '<resource-group-name>'
ResourceType = 'Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments/'
ResourceName = '<vm-name>/Microsoft.GuestConfiguration'
ApiVersion = '2020-06-25'
}
$guestAssignment = Get-AzResource @resourceDetails
# Review details of the machine configuration assignment
$guestAssignment
# After reviewing properties of $guestAssignment to confirm
$guestAssignment | Remove-AzResource
Pasos siguientes
- Desarrolle un paquete de configuración de máquina personalizado.
- Use el módulo GuestConfiguration para crear una definición de Azure Policy para la administración a escala del entorno.
- Asigne su definición de directiva personalizada mediante Azure Portal.
- Obtenga información sobre cómo ver los detalles de cumplimiento de asignaciones de directivas de configuración de máquina.