Udostępnij przez

Samouczek: nie zezwalaj na typy zasobów w środowisku chmury

Jednym z popularnych celów ładu w chmurze jest ograniczenie typów zasobów dozwolonych w środowisku. Firmy mają wiele motywacji związanych z ograniczeniami typu zasobów. Na przykład typy zasobów mogą być kosztowne lub mogą być sprzeczne ze standardami i strategiami biznesowymi. Zamiast używać wielu zasad dla poszczególnych typów zasobów, usługa Azure Policy oferuje dwie wbudowane zasady, aby osiągnąć ten cel:

Nazwisko
(Azure Portal)		 opis Efekt Wersja
(GitHub)
Allowed resource types (Dozwolone typy zasobów) Te zasady umożliwiają określenie typów zasobów, które organizacja może wdrożyć. Te zasady mają wpływ tylko na typy zasobów, które obsługują tagi i lokalizację. Aby ograniczyć wszystkie zasoby, zduplikuj te zasady i zmień tryb na "Wszystkie". odmowa 1.0.0
Not allowed resource types (Niedozwolone typy zasobów) Ogranicz typy zasobów, które można wdrożyć w danym środowisku. Ograniczenie typów zasobów może zmniejszyć złożoność i powierzchnię ataków środowiska, a jednocześnie pomóc w zarządzaniu kosztami. Wyniki zgodności są wyświetlane tylko dla niezgodnych zasobów. Inspekcja, Odmowa, Wyłączone 2.0.0

W tym samouczku zastosujesz zasady Niedozwolone typy zasobów i będziesz zarządzać typami zasobów na dużą skalę za pośrednictwem portalu Microsoft Azure.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Przypisywanie definicji zasad

Pierwszym krokiem wyłączania typów zasobów jest przypisanie definicji zasad Niedozwolonych typów zasobów.

  1. Przejdź do obszaru Niedozwolone typy zasobów w witrynie Azure Portal.

    Zrzut ekranu przedstawiający ekran szczegółów definicji zasady 'niedozwolone typy zasobów'.

  2. Wybierz przycisk Przypisz w górnej części strony.

  3. Na karcie Podstawy ustaw Zakres, wybierając wielokropek, a następnie wybierając grupę zarządzania, subskrypcję lub grupę zasobów. Upewnij się, że wybrany zakres ma co najmniej jeden podzakres. Następnie kliknij przycisk Wybierz w dolnej części strony Zakres.

    W tym przykładzie użyto subskrypcji Contoso.

    Uwaga

    Jeśli przypiszesz tę definicję zasad do głównego zakresu grupy zarządzania, portal może wykryć niedozwolone typy zasobów i wyłączyć je w widoku Wszystkie usługi , aby użytkownicy portalu wiedzieli o ograniczeniu przed podjęciem próby wdrożenia niedozwolonego zasobu.

  4. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia zaczynają się o jeden poziom niżej od poziomu Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  5. Nazwa przypisania jest wypełniana automatycznie wybraną nazwą definicji zasad, ale można ją zmienić. Możesz również dodać opcjonalny opis, aby podać szczegółowe informacje o tym przypisaniu tej polityki.

  6. Pozostaw egzekwowanie polityki jako Włączone. Po wyłączeniu to ustawienie umożliwia testowanie wyników zasad bez wyzwalania efektu. Aby uzyskać więcej informacji, zobacz tryb egzekwowania.

  7. Pole Przypisane przez jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  8. Wybierz kartę Parametry w górnej części kreatora. Ten samouczek pomija kartę Zaawansowane .

  9. Dla parametru Niedozwolone typy zasobów użyj listy rozwijanej, aby wyszukać i wybrać typy zasobów, które nie powinny być dozwolone w środowisku chmury.

  10. Ta definicja zasad nie ma efektów modify lub deployIfNotExists, więc nie obsługuje zadań naprawczych. Na potrzeby tego samouczka pomiń kartę Korygowanie .

  11. Wybierz kartę Komunikaty o niezgodności w górnej części kreatora.

  12. Ustaw komunikat o niezgodności na Ten typ zasobu nie jest dozwolony. Ten komunikat niestandardowy jest wyświetlany, gdy zasób zostanie odrzucony lub nie jest zgodny z zasobami podczas regularnej oceny.

  13. Wybierz kartę Przeglądanie i tworzenie w górnej części kreatora.

  14. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Wyświetlanie wyłączonych typów zasobów w witrynie Azure Portal

Ten krok ma zastosowanie tylko wtedy, gdy zasady zostały przypisane w zakresie głównej grupy zarządzania.

Po przypisaniu wbudowanej definicji zasad przejdź do pozycji Wszystkie usługi. Portal Azure rozpoznaje niedozwolone typy zasobów wynikające z tego przypisania zasad i wyłącza je na stronie Wszystkie usługi. Opcja Utwórz jest niedostępna dla wyłączonych typów zasobów.

Uwaga

Jeśli przypiszesz tę definicję zasad do głównej grupy zarządzania, użytkownicy zobaczą następujące powiadomienie po pierwszym zalogowaniu się lub jeśli zasady zostaną zmienione po zalogowaniu:

Zasady zmienione przez administratora Administrator wprowadził zmiany w zasadach dla twojego konta. Zaleca się odświeżenie portalu w celu korzystania ze zaktualizowanych zasad.

Zrzut ekranu przedstawiający niedozwolone zasoby w bloku Wszystkie usługi.

Tworzenie wykluczenia

Teraz załóżmy, że jeden podzakres powinien mieć wyłączone typy zasobów na mocy tej polityki. Wprowadźmy wyjątek w tym zakresie, aby można było wdrożyć tam inaczej ograniczone zasoby.

Ostrzeżenie

Jeśli przypiszesz tę definicję zasad do głównego zakresu grupy zarządzania, witryna Azure Portal nie będzie mogła wykryć wykluczeń w zakresach niższego poziomu. Zasoby niedozwolone przez przypisanie zasad będą wyświetlane jako wyłączone z listy Wszystkie usługi , a opcja Utwórz jest niedostępna. Można jednak tworzyć zasoby w zakresie wykluczonym przy użyciu klientów, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub szablony Azure Resource Manager.

  1. W lewej części strony usługi Azure Policy wybierz opcję Przypisania w obszarze Tworzenie.

  2. Wyszukaj utworzone przypisanie polityki.

  3. Wybierz przycisk Utwórz wykluczenie w górnej części strony.

  4. Na karcie Podstawy wybierz zakres Zwolnienia, który jest podzakresem, w którym zasoby mogą być ograniczone przez to przypisanie zasad.

  5. Wypełnij pole Nazwa Wykluczenia żądanym tekstem i pozostaw kategorię Wykluczenia jako wartość domyślną Wyjątku. Nie zmieniaj przełącznika dla ustawienia wygaśnięcia zwolnienia, ponieważ to zwolnienie nie wygaśnie. Opcjonalnie dodaj Opis zwolnienia i wybierz Przejrzyj i utwórz.

  6. Ten samouczek pomija kartę Zaawansowane . Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

  7. Aby wyświetlić wykluczenie, wybierz pozycję Wykluczenia w obszarze Tworzenie w lewej części strony usługi Azure Policy.

Teraz dla podzakresu można wyznaczyć typy zasobów, które są zabronione przez politykę.

Czyszczenie zasobów

Jeśli skończysz pracę z zasobami z tego samouczka, wykonaj następujące kroki, aby usunąć dowolne z przypisań zasad lub definicji utworzonych w tym samouczku:

  1. Wybierz pozycję Definicje (lub Przypisania, jeśli próbujesz usunąć przypisanie) w obszarze Tworzenie w lewej części strony usługi Azure Policy.

  2. Wyszukaj nowo utworzoną definicję inicjatywy lub zasad (albo przypisanie), którą chcesz usunąć.

  3. Kliknij prawym przyciskiem myszy wiersz albo wybierz wielokropek na końcu definicji lub przypisania, a następnie wybierz pozycję Usuń definicję (lub Usuń przypisanie).

Wykonaj przegląd

W tym samouczku pomyślnie wykonałeś następujące czynności:

  • Przypisano wbudowaną zasadę Niedozwolone typy zasobów, aby uniemożliwić tworzenie niedozwolonych typów zasobów.
  • Utworzono zwolnienie dla przypisania tej polityki w ramach podzakresu

W przypadku tych wbudowanych zasad określono typy zasobów, które nie są dozwolone. Alternatywną, bardziej restrykcyjną metodą jest określenie typów zasobów, które są dozwolone za pomocą wbudowanej zasady dozwolonych typów zasobów.

Uwaga

W Azure Portal's Wszystkie usługi będą wyłączać zasoby, które nie zostały określone w dozwolonym typie zasobów, jeśli mode ustawiono na All, a zasady są przypisane w głównej grupie zarządzania. Jest to spowodowane tym, że sprawdza wszystkie typy zasobów niezależnie od tags i locations. Jeśli chcesz, aby portal miał takie zachowanie, zduplikuj wbudowaną zasadę Dozwolone typy zasobów, zmień jej mode z Indexed na All, a następnie przypisz ją do zakresu głównej grupy zarządzania.

Następne kroki

Aby dowiedzieć się więcej o strukturach definicji zasad, przypisań i wykluczeń, zapoznaj się z następującymi artykułami:

Strukturadefinicji usługi Azure Policy — strukturaprzypisania usługi Azure Policy — struktura wykluczania usługi Azure Policy

Aby wyświetlić pełną listę wbudowanych przykładów zasad, zobacz ten artykuł:

Struktura definicji zasad platformy Azure

  • Last updated on