Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Policy to zaawansowane narzędzie do zarządzania zasobami platformy Azure w celu spełnienia wymagań dotyczących zgodności ze standardami biznesowymi. Gdy ludzie, procesy lub potoki tworzą lub aktualizują zasoby, usługa Azure Policy sprawdza żądanie. Gdy efekt definicji polityki to modyfikować, dołączyć lub deployIfNotExists, polityka zmienia żądanie lub dodaje do niego. Gdy efekt definicji zasad to inspekcji lub inspekcjiJeśliNieIstnieje, zasady powodują utworzenie wpisu w dzienniku aktywności dla nowych i zaktualizowanych zasobów. A gdy efekt definicji polityki jest odrzucenie lub działanie odrzucające, polityka zatrzymuje tworzenie lub modyfikowanie żądania.
Te wyniki są dokładnie zgodne z oczekiwaniami, gdy wiadomo, że zasady zostały zdefiniowane poprawnie. Należy jednak sprawdzić, czy nowe zasady działają zgodnie z oczekiwaniami, zanim umożliwią zmianę lub zablokowanie pracy. Walidacja musi zapewnić, że tylko zamierzone zasoby są określane jako niezgodne, a w wynikach nie są niepoprawnie uwzględniane żadne zgodne zasoby (znane jako fałszywie dodatnie).
Zalecane podejście do walidacji nowej definicji zasad polega na wykonaniu następujących kroków:
- Ściśle zdefiniuj zasady.
- Przetestuj skuteczność zasad.
- Przeprowadź inspekcję nowych lub zaktualizowanych żądań zasobów.
- Wdróż swoją politykę do zasobów.
- Ciągłe monitorowanie.
Ściśle zdefiniuj zasady
Ważne jest, aby zrozumieć, jak zasady biznesowe są implementowane jako definicja zasad i relacje zasobów platformy Azure z innymi usługami platformy Azure. Ten krok można wykonać, identyfikując wymagania i określając właściwości zasobu. Ale ważne jest również, aby wyjść poza wąską definicję polityki biznesowej. Czy na przykład Wasze zasady określają, że Wszystkie maszyny wirtualne muszą...? A co z innymi usługami Azure, które korzystają z maszyn wirtualnych, takimi jak HDInsight lub Azure Kubernetes Service (AKS)? Podczas definiowania zasad należy wziąć pod uwagę, w jaki sposób te zasady wpływają na zasoby używane przez inne usługi.
Z tego powodu definicje zasad powinny być tak ściśle zdefiniowane i skoncentrowane na zasobach i właściwościach, które należy ocenić pod kątem zgodności, jak to możliwe.
Testowanie skuteczności zasad
Przed rozpoczęciem zarządzania nowymi lub zaktualizowanymi zasobami przy użyciu nowej definicji zasad najlepiej sprawdzić, jak ocenia ona ograniczony podzestaw istniejących zasobów, na przykład testową grupę zasobów. Rozszerzenie programu VS Code usługi Azure Policy umożliwia izolowane testowanie definicji względem istniejących zasobów platformy Azure przy użyciu skanowania oceny na żądanie. Możesz również skonfigurować przypisanie definicji w środowisku deweloperskim przy użyciu trybu wymuszania Wyłączony (doNotEnforce) w przypisaniu zasad, aby zapobiec wyzwalaniu efektu lub tworzeniu wpisów dziennika aktywności.
Ten krok umożliwia ocenę wyników zgodności nowych zasad dotyczących istniejących zasobów bez wpływu na przepływ pracy. Upewnij się, że zasoby zgodne nie są wyświetlane jako niezgodne (fałszywie pozytywne) oraz że wszystkie zasoby, które powinny być niezgodne, są prawidłowo oznaczone. Po początkowym podzestawie zasobów sprawdza poprawność zgodnie z oczekiwaniami, powoli rozszerzaj ocenę do większej liczby istniejących zasobów i większej liczby zakresów.
Ocena istniejących zasobów w ten sposób umożliwia również korygowanie niezgodnych zasobów przed pełną implementacją nowych zasad. To czyszczenie można wykonać ręcznie lub za pomocą zadania naprawczego, jeśli efekt definicji zasad to deployIfNotExists lub modify.
Definicje zasad z elementem deployIfNotExists powinny używać szablonu usługi Azure Resource Manager, co zrobić, aby zweryfikować i przetestować zmiany, które mają miejsce podczas wdrażania szablonu usługi ARM.
Inspekcja nowych lub zaktualizowanych zasobów
Po zweryfikowaniu, czy nowa definicja zasad prawidłowo raportuje istniejące zasoby, nadszedł czas, aby przyjrzeć się efektowi zasad podczas tworzenia lub aktualizowania zasobów. Jeśli definicja zasad obsługuje parametryzację efektów, użyj audit lub auditIfNotExist. Ta konfiguracja umożliwia monitorowanie tworzenia i aktualizowania zasobów w celu sprawdzenia, czy nowa definicja zasad wyzwala wpis w dzienniku aktywności platformy Azure dla zasobu niezgodnego bez wpływu na istniejącą pracę lub żądania.
Zaleca się zaktualizowanie i utworzenie nowych zasobów pasujących do definicji zasad w celu sprawdzenia, czy audit efekt lub auditIfNotExists jest poprawnie wyzwalany, gdy jest to oczekiwane. Poszukaj żądań zasobów, które nie powinny mieć wpływu na nową definicję zasad, która wyzwala audit efekt lub auditIfNotExists . Te zasoby, których dotyczy problem, są kolejnym przykładem wyników fałszywie dodatnich i muszą zostać naprawione w definicji zasad przed pełną implementacją.
W przypadku zmiany definicji zasad na tym etapie testowania zaleca się rozpoczęcie procesu weryfikacji przy użyciu inspekcji istniejących zasobów. Zmiana definicji zasad dla fałszywie dodatniego wyniku dla nowych lub zaktualizowanych zasobów może również mieć wpływ na istniejące zasoby.
Rozmieść swoją politykę na zasobach
Po zakończeniu walidacji nowej definicji zasad zarówno przy użyciu istniejących zasobów, jak i nowych lub zaktualizowanych żądań zasobów, rozpoczniesz proces implementowania zasad. Zaleca się utworzenie przypisania zasad dla nowej definicji zasad do podzestawu wszystkich zasobów, takich jak grupa zasobów. Możesz dalej filtrować według typu zasobu lub lokalizacji przy użyciu właściwości resourceSelectors w ramach przypisania zasad. Po zweryfikowaniu początkowego wdrożenia rozszerz zakres zasad tak, aby był szerszy jako grupa zasobów. Po zweryfikowaniu początkowego wdrożenia rozwiń efekt zasad, dostosowując resourceSelector filtry do większej liczby lokalizacji lub typów zasobów. Możesz też usunąć przypisanie i zastąpić je nowym w szerszych zakresach, takich jak subskrypcje i grupy zarządzania. Kontynuuj to stopniowe wdrażanie, dopóki nie zostanie przypisany do pełnego zakresu zasobów przeznaczonych do objęcia nową definicją zasad.
Podczas wdrażania, jeśli znajdują się zasoby, które powinny być wykluczone z nowej definicji zasad, należy rozwiązać je w jeden z następujących sposobów:
- Zaktualizuj definicję zasad, aby było bardziej jawne, aby zmniejszyć niezamierzone skutki.
- Zmień zakres przypisania polityki poprzez usunięcie i utworzenie nowego przypisania.
- Dodaj grupę zasobów do listy wykluczeń dla przypisania zasad.
Wszelkie zmiany zakresu (poziom lub wykluczenia) powinny zostać w pełni zweryfikowane i przekazane organizacjom ds. zabezpieczeń i zgodności, aby upewnić się, że nie ma żadnych luk w zakresie.
Monitorowanie zasad i zgodności
Implementowanie i przypisywanie definicji zasad nie jest ostatnim krokiem. Stale monitoruj poziom zgodności zasobów do nowej definicji zasad i skonfiguruj odpowiednie alerty i powiadomienia usługi Azure Monitor w przypadku zidentyfikowania niezgodnych urządzeń. Zaleca się regularną ocenę definicji polityki i powiązanych zastosowań zgodnie z ustalonym harmonogramem, aby zweryfikować, czy definicja polityki spełnia wymagania dotyczące polityki biznesowej i zgodności. Jeśli zasady nie będą już potrzebne, należy je usunąć. Zasady muszą być również aktualizowane od czasu do czasu, gdy bazowe zasoby platformy Azure ewoluują i dodają nowe właściwości i możliwości.
Następne kroki
- Dowiedz się więcej o strukturze definicji zasad.
- Dowiedz się więcej o strukturze przypisania zasad.
- Dowiedz się, jak programowo tworzyć zasady.
- Dowiedz się, jak uzyskać dane zgodności.
- Dowiedz się, jak korygować niezgodne zasoby.
- Sprawdź, czym są grupy zarządzania w Organizowaniu zasobów za pomocą zarządzania grupami w Azure.