Udostępnij przez

Samouczek: Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

Zrozumienie sposobu tworzenia zasad i zarządzania nimi na platformie Azure jest ważne, aby zachować zgodność ze standardami firmowymi i umowami dotyczącymi poziomu usług. Z tego samouczka dowiesz się, jak za pomocą usługi Azure Policy wykonywać niektóre bardziej typowe zadania związane z tworzeniem i przypisywaniem zasad oraz zarządzaniem nimi w całej organizacji, na przykład:

  • Przypisz zasady, aby egzekwować warunek dla zasobów, które utworzysz w przyszłości
  • Tworzenie i przypisywanie definicji inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązywanie problemu w przypadku niezgodnego lub odrzuconego zasobu
  • Implementowanie nowych zasad w całej organizacji

Jeśli chcesz przypisać zasady, aby zidentyfikować bieżący stan zgodności dla istniejących zasobów, artykuły Szybki start szczegółowo opisują, jak to zrobić.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Przypisywanie zasad

Pierwszym krokiem w celu wymuszenia zgodności za pomocą usługi Azure Policy jest przypisanie definicji zasad. Definicja zasad określa, w jakim przypadku zasady zostaną wymuszone oraz jaki efekt przyniosą. W tym przykładzie, przypisz wbudowaną definicję zasad o nazwie Dziedzicz tag z grupy zasobów, jeśli brakuje, aby dodać określony tag z wartością z nadrzędnej grupy zasobów do nowych lub zaktualizowanych zasobów, którym brakuje tego tagu.

  1. Przejdź do witryny Azure Portal, aby przypisać zasady. Wyszukaj i wybierz Zasady.

    Zrzut ekranu przedstawiający wyszukiwanie zasad na pasku wyszukiwania.

  2. Wybierz pozycję Przypisania po lewej stronie strony Azure Policy. Przypisanie to polityka, która została przypisana do realizacji w określonym zakresie.

    Zrzut ekranu przedstawiający wybieranie elementu Przypisania na stronie Przegląd polityki.

  3. Wybierz opcję Przypisz politykę z górnej części strony Polityka | Przypisania.

    Zrzut ekranu przedstawiający wybieranie przycisku

  4. Na stronie Przypisywanie zasad i Podstawy wybierz zakres, wybierając wielokropek i wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, na które zasoby lub grupy zasobów jest egzekwowane przypisanie polityki. Następnie wybierz pozycję Wybierz w dolnej części Zakresu strony.

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia rozpoczynają się na poziomie o jeden stopień niższym niż poziom Zakresu. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Definicje zasad możesz filtrować, wybierając w polu Typ wartość Wbudowany, aby wyświetlić wszystkie definicje i przeczytać ich opisy.

  7. Wybierz opcję Dziedzicz tag z grupy zasobów, jeśli jest on brakujący. Jeśli nie możesz go od razu znaleźć, wpisz odziedzicz tag w polu wyszukiwania, a następnie naciśnij ENTER lub wybierz poza polem wyszukiwania. Po znalezieniu i wybraniu definicji zasad, wybierz Wybierz w dolnej części strony Dostępne definicje.

    Zrzut ekranu przedstawiający filtr wyszukiwania podczas wybierania definicji zasad.

  8. Wersja jest automatycznie wypełniana najnowszą wersją główną definicji i ustawiona na automatyczne wchłanianie wszelkich zmian niepowodujących niezgodności. Możesz zmienić wersję na inne, jeśli są dostępne lub dostosować ustawienia przetwarzania, ale nie jest wymagane dokonanie zmian. Przesłonięcia są opcjonalne, więc pozostaw je na razie puste.

  9. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw opcję Dziedzicz tag z grupy zasobów, jeśli jej brakuje. Można również dodać opcjonalny Opis. Opis zawiera szczegóły dotyczące danego przypisania zasad.

  10. Pozostaw wymuszanie zasad jako Włączone. Po wyłączeniu to ustawienie umożliwia testowanie wyników zasad bez wyzwalania efektu. Aby uzyskać więcej informacji, zobacz tryb egzekwowania.

  11. Wybierz zakładkę Parametry w górnej części kreatora.

  12. W przypadku Tag Name wprowadź Środowisko.

  13. Wybierz kartę Korygowanie w górnej części kreatora.

  14. Pozostaw opcję Utwórz zadanie naprawcze niezaznaczoną. To pole umożliwia utworzenie zadania w celu zmiany istniejących zasobów oprócz nowych lub zaktualizowanych zasobów. Aby uzyskać więcej informacji, zobacz Korygowanie zasobów.

  15. Tworzenie tożsamości zarządzanej jest automatycznie sprawdzane, ponieważ ta definicja zasad używa efektu modyfikacji . Typ zarządzanej tożsamości jest ustawiony na przypisanej przez system. Uprawnienia są ustawiane na Wartość Współautor automatycznie na podstawie definicji zasad. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane i sposób działania kontroli dostępu korygowania.

  16. Wybierz kartę Komunikaty o niezgodności w górnej części kreatora.

  17. Ustaw Komunikat o niezgodności na Ten zasób nie ma wymaganego tagu. Ten komunikat niestandardowy jest wyświetlany, gdy zasób zostanie odrzucony lub nie jest zgodny z zasobami podczas regularnej oceny.

  18. Wybierz zakładkę Przegląd + utwórz w górnej części kreatora.

  19. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Wdrożenie nowej niestandardowej polityki

Teraz, gdy przypisano wbudowaną definicję zasad, możesz zrobić więcej z usługą Azure Policy. Następnie utwórz nową politykę niestandardową, aby zaoszczędzić koszty, weryfikując, że maszyny wirtualne utworzone w środowisku nie mogą należeć do serii G. W ten sposób za każdym razem, gdy użytkownik w organizacji próbuje utworzyć maszynę wirtualną z serii G, żądanie zostanie odrzucone.

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w obszarze Grupa tworzenia.

  2. Wybierz + Definicja zasad w górnej części strony. Ten przycisk powoduje otwarcie strony Definicja zasad.

  3. Wprowadź następujące informacje:

    • Grupa zarządzania lub subskrypcja, w której przechowywana jest definicja zasad. Wybierz, używając wielokropka w polu Lokalizacja definicji.

      Uwaga

      Jeśli planujesz zastosowanie tej definicji zasad w wielu subskrypcjach, lokalizacja musi być grupą zarządzania zawierającą subskrypcje, do których zostaną przypisane zasady. To samo dotyczy definicji inicjatywy.

    • Nazwa definicji zasad — Wymaganie SKU maszyn wirtualnych, które nie są w serii G

    • Opis sposobu działania definicji zasad — ta definicja zasad wymusza, że wszystkie maszyny wirtualne utworzone w tym zakresie mają jednostki SKU inne niż seria G, aby zmniejszyć koszty.

    • Wybierz jedną z istniejących opcji (np. Compute) lub utwórz nową kategorię dla tej definicji zasad.

    • Skopiuj poniższy kod JSON, a następnie zaktualizuj go zgodnie ze swoimi potrzebami przy użyciu następujących danych:

      • Parametry zasad.
      • W tym przypadku zasady polityki/warunki: rozmiar SKU maszyny wirtualnej równy serii G
      • Efekt polityki, w tym przypadku — Odmów.

    Oto, jak powinien wyglądać kod JSON. Wklej poprawiony kod do witryny Azure Portal.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    Właściwość pola w regule musi być obsługiwaną wartością. Pełna lista wartości znajduje się w polach struktury definicji zasad. Przykładem aliasu może być "Microsoft.Compute/VirtualMachines/Size".

    Aby wyświetlić więcej przykładów usługi Azure Policy, zobacz Przykłady usługi Azure Policy.

  4. Wybierz pozycję Zapisz.

Tworzenie definicji zasad za pomocą interfejsu API REST

Politykę można utworzyć za pomocą REST API dla definicji polityk Azure. Interfejs API REST umożliwia tworzenie i usuwanie definicji zasad oraz uzyskiwanie informacji o istniejących definicjach. Aby utworzyć definicję zasad, skorzystaj z następującego przykładu:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Dołącz treść żądania podobną do poniższego przykładu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Tworzenie definicji zasad za pomocą programu PowerShell

Przed kontynuowaniem pracy z przykładem programu PowerShell upewnij się, że zainstalowano najnowszą wersję modułu Az programu Azure PowerShell.

Definicję zasad można utworzyć przy użyciu polecenia cmdlet New-AzPolicyDefinition.

Aby utworzyć definicję zasad na podstawie pliku, przekaż ścieżkę do tego pliku. W przypadku pliku zewnętrznego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

W przypadku pliku lokalnego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Dane wyjściowe są zapisywane w obiekcie $definition, który jest używany podczas przypisywania zasad. Poniższy przykład tworzy definicję zasad, która obejmuje parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Wyświetlanie definicji zasad przy użyciu programu PowerShell

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

Get-AzPolicyDefinition

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Tworzenie definicji zasad za pomocą wiersza polecenia platformy Azure

Definicję zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za pomocą polecenia az policy definition. Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Wyświetlanie definicji zasad przy użyciu interfejsu wiersza polecenia platformy Azure

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

az policy definition list

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "version": "1.0.0"
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Tworzenie i przypisywanie definicji inicjatywy

Za pomocą definicji inicjatywy możesz grupować kilka definicji zasad w celu osiągnięcia jednego ogólnego celu. Inicjatywa ocenia zasoby w ramach zadania pod kątem zgodności z załączonymi zasadami. Aby uzyskać więcej informacji na temat definicji inicjatyw, zobacz Omówienie usługi Azure Policy.

Tworzenie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w grupie Tworzenie.

  2. Wybierz pozycję + Definicja inicjatywy w górnej części strony, aby otworzyć kreatora definicji inicjatywy.

    Zrzut ekranu przedstawiający stronę definicji inicjatywy i właściwości do ustawienia.

  3. Użyj wielokropka w lokalizacji inicjatywy, aby wybrać grupę zarządzania lub subskrypcję do przechowywania definicji. Jeśli poprzednia strona została ograniczona do pojedynczej grupy zarządzania lub subskrypcji, lokalizacja inicjatywy jest automatycznie uzupełniana.

  4. Wprowadź Nazwę i Opis inicjatywy.

    W tym przykładzie waliduje się, że zasoby spełniają definicje zasad dotyczących bezpieczeństwa. Dla tej inicjatywy podaj nazwę Uzyskiwanie bezpieczeństwa i opis: Ta inicjatywa została utworzona w celu obsługi wszystkich definicji zasad skojarzonych z zabezpieczaniem zasobów.

  5. W polu Kategoria wybierz jedną z istniejących opcji lub utwórz nową kategorię.

  6. Ustaw wersję dla inicjatywy, na przykład 1.0.

    Uwaga

    Wartość wersji jest ściśle metadana i nie jest używana do aktualizacji ani żadnego procesu przez usługę Azure Policy.

  7. Wybierz pozycję Dalej w dolnej części strony lub kartę Zasady w górnej części kreatora.

  8. Wybierz przycisk Dodaj definicje zasad i przejrzyj listę. Wybierz definicje zasad, które chcesz dodać do tej inicjatywy. W przypadku inicjatywy Get Secure dodaj następujące wbudowane definicje zasad, zaznaczając pole wyboru obok definicji zasad:

    • Dozwolone lokalizacje
    • Program Endpoint Protection powinien być zainstalowany na maszynach
    • Maszyny wirtualne nie mające połączenia z Internetem powinny być chronione przy użyciu sieciowych grup zabezpieczeń
    • Usługa Azure Backup powinna być włączona dla maszyn wirtualnych
    • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
    • Dodaj lub zastąp tag zasobów (dodaj tę definicję zasad dwa razy)

    Po wybraniu każdej definicji zasad z listy wybierz pozycję Dodaj w dolnej części listy. Ponieważ dodano je dwukrotnie, definicje zasad dotyczące dodawania lub zastępowania tagu w zasobach otrzymują różne identyfikatory odwołania.

    Zrzut ekranu przedstawiający wybrane definicje zasad z identyfikatorem referencyjnym i grupą na stronie definicji inicjatywy.

    Uwaga

    Wybrane definicje zasad można dodać do grup, wybierając co najmniej jedną dodaną definicję i wybierając pozycję Dodaj wybrane zasady do grupy. Grupa musi najpierw istnieć i można ją utworzyć na karcie Grupy kreatora.

  9. Wybierz Dalej u dołu strony lub kartę Grupy na górze kreatora. Na tej karcie można dodać nowe grupy. W tym samouczku nie dodajemy żadnych grup.

  10. Wybierz Dalej na dole strony lub kartę Parametry inicjatywy u góry kreatora. Gdybyśmy chcieli, aby parametr istniał w ramach inicjatywy do przekazania do jednej lub więcej dołączonych definicji zasad, parametr jest zdefiniowany tutaj, a następnie używany na karcie Parametry zasad. W tym samouczku nie dodajemy żadnych parametrów inicjatywy.

    Uwaga

    Po zapisaniu do definicji inicjatywy nie można usunąć jej parametrów. Jeśli parametr inicjatywy nie jest już potrzebny, usuń go z użycia przy użyciu dowolnych parametrów definicji zasad.

  11. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry polityki znajdującą się na górze kreatora.

  12. Definicje zasad dodane do inicjatywy, mające parametry, są wyświetlane w tabeli grupowanej. Typ wartości może mieć wartość "Wartość domyślna", "Ustaw wartość" lub "Użyj parametru inicjatywy". Jeśli jest ustawione 'Ustal wartość', powiązana wartość jest wprowadzana w polu Wartości. Jeśli parametr w definicji zasad zawiera listę dozwolonych wartości, pole wprowadzania jest selektorem listy rozwijanej. Jeśli wybrano opcję "Użyj parametru inicjatywy", zostanie wyświetlona lista rozwijana, z której można wybrać nazwy parametrów inicjatywy utworzonych na karcie Parametry inicjatywy.

    Zrzut ekranu przedstawiający opcje dozwolonych wartości parametru definicji dozwolonych lokalizacji na karcie parametrów zasad na stronie definicji inicjatywy.

    Uwaga

    W przypadku niektórych parametrów strongType listy wartości nie można określić automatycznie. W takich przypadkach z prawej strony wiersza parametru jest wyświetlany symbol wielokropka. Wybranie go powoduje otwarcie strony "Zakres parametru (<nazwa> parametru)". Na tej stronie wybierz subskrypcję, która ma zostać użyta do podania opcji wartości. Ten zakres parametru jest używany wyłącznie w trakcie tworzenia definicji inicjatywy i nie ma żadnego wpływu na ocenę zasad lub zakres inicjatywy podczas przypisania.

    Ustaw typ wartości "Dozwolone lokalizacje" na "Ustal wartość" i wybierz "East US 2" z listy rozwijanej. Dla dwóch wystąpień Dodaj lub zastąp tag w definicjach zasad dotyczących zasobów, ustaw parametry Nazwa tagu na "Env" i "CostCenter" oraz parametry Wartość tagu na "Test" i "Lab", jak pokazano poniżej. Pozostaw pozostałe wartości jako "Wartość domyślna". Używając tej samej definicji dwukrotnie w inicjatywie, ale z różnymi parametrami, ta konfiguracja dodaje lub zastępuje tag "Env" wartością "Test" oraz tag "CostCenter" wartością "Lab" dla zasobów objętych zakresem przypisania.

    Zrzut ekranu przedstawiający wprowadzone opcje dozwolonych wartości parametrów definicji dozwolonych lokalizacji i wartości dla obu zestawów parametrów tagów na karcie parametrów zasad na stronie definicji inicjatywy.

  13. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony lub w górnej części kreatora.

  14. Przejrzyj ustawienia i wybierz pozycję Utwórz.

Utwórz definicję inicjatywy zasad za pomocą Azure CLI

Definicję inicjatywy zasad można utworzyć za pomocą polecenia az policy set-definition w interfejsie wiersza polecenia platformy Azure. Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego przykładu:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Tworzenie definicji inicjatywy zasad za pomocą programu Azure PowerShell

Definicję inicjatywy zasad można utworzyć przy użyciu programu Azure PowerShell z poleceniem New-AzPolicySetDefinition cmdlet . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego pliku definicji inicjatywy zasad jako VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Przypisywanie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

  2. Zlokalizuj definicję inicjatywy Get Secure, którą wcześniej utworzyłeś, i wybierz ją. Wybierz polecenie Przypisz w górnej części strony, aby otworzyć stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę.

    Zrzut ekranu przedstawiający przycisk

    Możesz również wybrać i przytrzymać (lub kliknąć prawym przyciskiem myszy) wybrany wiersz lub wybrać wielokropek na końcu wiersza, aby wyświetlić menu kontekstowe. Następnie wybierz opcję Przypisz.

    Zrzut ekranu przedstawiający menu kontekstowe inicjatywy w celu wybrania funkcji Przypisz.

  3. Wypełnij stronę Uzyskaj zabezpieczenie: Przypisz inicjatywę, wprowadzając następujące przykładowe informacje. Możesz podać własne informacje.

    • Zakres: grupa zarządzania lub subskrypcja, w której zapisano inicjatywę, staje się domyślnym ustawieniem. Zakres można zmienić, aby przypisać inicjatywę do subskrypcji lub grupy zasobów w zapisanej lokalizacji.
    • Wyjątki: skonfiguruj wszelkie zasoby w tym zakresie, aby uniemożliwić zastosowanie przypisania inicjatywy do nich.
    • Definicja inicjatywy i nazwa przypisania: „Zabezpiecz się” (automatycznie wypełniane jako nazwa przypisywanej inicjatywy).
    • Opis: To zadanie inicjatywy jest dostosowane, aby wyegzekwować tę grupę definicji zasad.
    • Wymuszanie zasad: pozostaw ustawioną wartość domyślną Włączone.
    • Przypisane przez: jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  4. Wybierz zakładkę Parametry w górnej części kreatora. Jeśli skonfigurowano parametr inicjatywy w poprzednich krokach, ustaw tutaj wartość.

  5. Wybierz kartę Korygowanie w górnej części kreatora. Pozostaw pole Utwórz tożsamość zarządzaną niezaznaczone. To pole musi być zaznaczone, gdy przypisane zasady lub inicjatywa zawierają zasady z efektem deployIfNotExists lub efektem modify. Ponieważ w przypadku zasad stosowanych na potrzeby tego samouczka tak nie jest, pozostaw to pole puste. Aby uzyskać więcej informacji, zobacz tożsamości zarządzane i sposób działania kontroli dostępu korygowania.

  6. Wybierz zakładkę Przegląd + utwórz w górnej części kreatora.

  7. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Sprawdzanie zgodności początkowej

  1. Wybierz pozycję Zgodność w lewej części strony usługi Azure Policy.

  2. Znajdź inicjatywę Uzyskaj bezpieczeństwo. Jej Stan zgodności prawdopodobnie nadal ma wartość Nie uruchomiono. Wybierz inicjatywę, aby uzyskać wszystkie szczegóły zadania.

    Zrzut ekranu przedstawiający stronę zgodności inicjatywy z ocenami przydziałów w stanie Nie rozpoczęto.

  3. Po ukończeniu przypisania inicjatywy strona zgodności jest aktualizowana — Stan zgodności zmienia wartość na Zgodne.

    Zrzut ekranu strony zgodności inicjatywy, pokazujący ukończone oceny przydziałów w stanie zgodnym.

  4. Wybranie jakichkolwiek zasad na stronie zgodności inicjatywy powoduje otwarcie strony szczegółów zgodności dla tych zasad. Ta strona zawiera szczegółowe informacje dotyczące zgodności na poziomie zasobów.

Usuń niezgodny lub odrzucony zasób z zakresu za pomocą wykluczenia

Po przypisaniu inicjatywy polityki wymagającej określonej lokalizacji, wszelkie zasoby utworzone w innym miejscu zostają odrzucone. W tej sekcji opisano rozwiązywanie odrzuconego żądania utworzenia zasobu przez utworzenie wykluczenia w pojedynczej grupie zasobów. Wykluczenie uniemożliwia wymuszanie zasad (lub inicjatywy) w tej grupie zasobów. W poniższym przykładzie dowolna lokalizacja jest dozwolona w wykluczonej grupie zasobów. Wykluczenie może dotyczyć subskrypcji, grupy zasobów lub pojedynczego zasobu.

Uwaga

Można również użyć wyjątku od zasady, aby pominąć ocenę zasobu. Aby uzyskać więcej informacji, zobacz Zakres w usłudze Azure Policy.

Wdrożenia zablokowane przez przypisane zasady lub inicjatywy można wyświetlić w grupie zasobów objętej wdrożeniem: wybierz pozycję Wdrożenia po lewej stronie, a następnie wybierz nazwę nieudanego wdrożenia. Zasób, do którego odmówiono dostępu, jest wyświetlany jako Zabroniony. Aby określić zasady lub inicjatywę i przypisanie, które zaprzeczyły zasobowi, wybierz pozycję Niepowodzenie. Kliknij tutaj, aby uzyskać szczegółowe informacje —> na stronie Przegląd wdrożenia. W prawej części strony wyświetli się okno z informacjami o błędzie. W obszarze Szczegóły błędu są widoczne identyfikatory GUID powiązanych obiektów zasad.

Zrzut ekranu przedstawiający nieudane wdrożenie, które zostało odrzucone z powodu przypisania polityki.

Na stronie Azure Policy wybierz Zgodność po lewej stronie, a następnie wybierz inicjatywę zasad Get Secure. Na tej stronie nastąpił wzrost liczby Odmów dla zablokowanych zasobów. Na karcie Zdarzenia znajdują się szczegółowe informacje o tym, kto próbował utworzyć lub wdrożyć zasób, który został odrzucony przez definicję zasad.

Zrzut ekranu przedstawiający kartę Zdarzenia i szczegóły zdarzenia związanego z zasadami na stronie zgodności inicjatywy.

W tym przykładzie Trent Baker, jeden z doświadczonych specjalistów firmy Contoso w dziedzinie wirtualizacji, wykonywał swoją pracę. Musimy zapewnić Trentowi możliwość wyjątku. Utwórz nową grupę zasobów, LocationsExcluded, a następnie przyznaj jej wyjątek od tego przypisania zasad.

Aktualizacja przypisania z wykluczeniem

  1. W lewej części strony Azure Policy wybierz Przypisania w obszarze Tworzenie.

  2. Przejrzyj wszystkie przypisania zasad i otwórz przypisanie zasad Get Secure .

  3. Ustaw Wykluczenie poprzez wybór wielokropka, a następnie wybierz grupę zasobów do wykluczenia, na przykład LocationsExcluded. Wybierz pozycję Dodaj do wybranego zakresu , a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający opcję Wykluczenia na stronie Przypisywania inicjatywy, aby dodać wykluczoną grupę zasobów do przypisania polityki.

    Uwaga

    W zależności od definicji zasad i jej wpływu wykluczenie może być również przyznane określonym zasobom w grupie zasobów w zakresie przypisania. Ponieważ w tym samouczku użyto efektu Odmów, nie ma sensu ustawiać wykluczenia dla określonego zasobu, który już istnieje.

  4. Wybierz pozycję Przejrzyj i zapisz , a następnie wybierz pozycję Zapisz.

W tej sekcji rozwiązano problem z odmową żądania przez utworzenie wykluczenia pojedynczej grupy zasobów.

Czyszczenie zasobów

Kiedy zakończysz pracę z zasobami z tego samouczka, wykonaj następujące kroki, aby usunąć dowolne z powyższych przypisań lub definicji zasad:

  1. Wybierz pozycję Definicje (lub Przypisania, jeśli próbujesz usunąć przypisanie) w obszarze Tworzenie w lewej części strony usługi Azure Policy.

  2. Wyszukaj nowo utworzoną definicję inicjatywy lub zasad (albo przypisanie), którą chcesz usunąć.

  3. Kliknij prawym przyciskiem myszy wiersz albo wybierz wielokropek na końcu definicji lub przypisania, a następnie wybierz pozycję Usuń definicję (lub Usuń przypisanie).

Wykonaj przegląd

W tym samouczku pomyślnie wykonano następujące czynności:

  • Przypisano politykę w celu wymuszania spełnienia warunków dla zasobów, które stworzysz w przyszłości
  • Utworzono i przypisano definicję inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązano problem niezgodnego lub odrzuconego zasobu
  • Zaimplementowano nowe zasady w całej organizacji

Następne kroki

Aby dowiedzieć się więcej o strukturach definicji zasad, zapoznaj się z artykułem:

Struktura definicji zasad platformy Azure

  • Last updated on