Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essa visão geral descreve como o Azure Policy ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. Por meio do painel de conformidade, ele fornece uma exibição agregada para avaliar o estado geral do ambiente, com a capacidade de drill down para a granularidade por recurso, por política. Ele também ajuda a deixar seus recursos em conformidade por meio da correção em massa de recursos existentes e da correção automática para novos recursos.
Observação
Para obter mais informações sobre correção, consulte Remediar recursos não compatíveis com o Azure Policy.
Casos de uso comuns do Azure Policy incluem implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. As definições de política para esses casos de uso comuns já estão disponíveis em seu ambiente do Azure como itens interno para ajudar você a começar a usar.
Algumas ações de governança úteis que você pode impor com o Azure Policy incluem:
- Verifique se sua equipe implanta recursos do Azure apenas em regiões permitidas.
- Imponha a aplicação consistente de marcas taxonômicas.
- Exigir que os recursos enviem logs de diagnóstico para um workspace do Log Analytics.
É importante reconhecer que, com a introdução do Azure Arc, você pode estender a governança baseada em políticas para diferentes provedores de nuvem e até mesmo para os datacenters locais.
Todos os dados e objetos do Azure Policy são criptografados em repouso. Para obter mais informações, confira Criptografia de dados em repouso do Azure.
Visão geral
O Azure Policy avalia os recursos e as ações no Azure comparando as propriedades desses recursos com as regras de negócios. Essas regras de negócio, descritas em Formato JSON, são conhecidas como definições de política. Para simplificar o gerenciamento, várias regras de negócios podem ser agrupadas para formar uma iniciativa de política, também conhecida como policySet.
Depois que suas regras de negócios são formadas, a definição de política ou iniciativa é atribuída a qualquer escopo de recursos que o Azure dá suporte. Por exemplo, grupos de gerenciamento, assinaturas, grupos de recursos ou recursos individuais. A atribuição se aplica a todos os recursos dentro do escopo do Resource Manager dessa atribuição. Os subescopos podem ser excluídos, se necessário. Para obter mais informações, confira Escopo no Azure Policy.
O Azure Policy usa um formato JSON para formar a lógica que a avaliação usa para determinar se um recurso está em conformidade. As definições incluem metadados e a regra de política. A regra definida pode usar funções, parâmetros, operadores lógicos, condições e aliases de propriedade para corresponder exatamente ao cenário desejado. A regra de política determina quais recursos no escopo da atribuição são avaliados.
Entender os resultados da avaliação
Os recursos são avaliados em momentos específicos durante o ciclo de vida do recurso, o ciclo de vida de atribuição de política e para avaliação regular de conformidade contínua. A seguir estão os horários ou eventos que causam a avaliação de um recurso:
- Um recurso é criado ou atualizado em um escopo com uma atribuição de política.
- Um escopo recebe uma nova atribuição de uma política ou iniciativa.
- Uma política ou iniciativa já atribuída a um escopo foi atualizada.
- O ciclo de avaliação de conformidade padrão que ocorre uma vez a cada 24 horas.
Para obter informações detalhadas sobre quando e como a avaliação de política ocorre, confira Gatilhos de avaliação.
Controlar a resposta a uma avaliação
As regras de negócio para lidar com recursos sem conformidade variam muito entre as organizações. Exemplos de como uma organização deseja que a plataforma responda a um recurso sem conformidade, incluindo:
- Negar a alteração do recurso.
- Registre a alteração no recurso.
- Altere o recurso antes da alteração.
- Modifique o recurso após a mudança.
- Implantar recursos relacionados em conformidade.
- Bloquear ações em recursos.
O Azure Policy torna cada uma dessas respostas de negócios possível por meio da aplicação de efeitos. Os efeitos são definidos na parte de regra de política da definição de política.
Corrigir recursos sem conformidade
Embora esses efeitos afetem um recurso principalmente quando o recurso é criado ou atualizado, o Azure Policy também é compatível com lidar com recursos que não estão em conformidade existentes sem a necessidade de alterá-los. Para obter mais informações sobre como tornar os recursos existentes compatíveis, consulte Remediar recursos não compatíveis com o Azure Policy.
Introdução
Azure Policy e Azure RBAC
Há algumas diferenças importantes entre o Azure Policy e o Azure RBAC (controle de acesso baseado em função). O Azure Policy avalia o estado examinando as propriedades dos recursos que são representados no Resource Manager e as propriedades de alguns provedores de recursos. O Azure Policy garante que o estado do recurso esteja em conformidade com as regras de negócio sem levar em conta quem fez a alteração ou quem tem permissão para fazer uma alteração. O Azure Policy por meio do efeito DenyAction também podem bloquear determinadas ações em recursos. Alguns recursos do Azure Policy, como definições de política, definições de iniciativa e atribuições, ficam visíveis para todos os usuários. Esse design permite transparência para todos os usuários e serviços em relação a quais regras de política são definidas no ambiente.
O Azure RBAC concentra-se em gerenciar as ações do usuário em escopos diferentes. Se o controle de uma ação for necessário com base em informações do usuário, o Azure RBAC será a ferramenta correta a ser usada. Mesmo que um indivíduo tenha acesso para executar uma ação, se o resultado for um recurso que não está em conformidade, o Azure Policy ainda bloqueará a criação ou a atualização.
A combinação do RBAC do Azure e do Azure Policy fornece controle de escopo completo no Azure.
Permissões do Azure RBAC no Azure Policy
O Azure Policy tem diversas permissões, conhecidas como operações, em dois provedores de recursos:
Muitas funções internas concedem permissão a recursos do Azure Policy. A função Colaborador da Política de Recursos inclui a maioria das operações do Azure Policy. O proprietário tem direitos totais. Tanto o Colaborador quanto o Leitor têm acesso a todas as operações de ler do Azure Policy.
O colaborador pode disparar a correção de recursos, mas não pode criar ou atualizar definições e atribuições.
O Administrador de Acesso de Usuário é necessário para conceder à identidade gerenciada as permissões necessárias nas atribuições deployIfNotExists ou modify.
Observação
Todos os objetos de política, incluindo definições, iniciativas e atribuições, são legíveis para todas as funções em seu escopo. Por exemplo, uma atribuição de política aplicada a uma assinatura do Azure é legível por todos os titulares de função no escopo da assinatura e em níveis inferiores.
Se nenhuma das funções internas tem as permissões necessárias, crie uma função personalizada.
As operações do Azure Policy podem ter um impacto significativo no ambiente do Azure. Atribua apenas o conjunto mínimo de permissões necessário para executar uma tarefa e conceda apenas essas permissões aos usuários que precisam de permissão.
Observação
A identidade gerenciada de uma atribuição de política deployIfNotExists ou modify precisa de permissões suficientes para criar ou atualizar recursos direcionados. Para obter mais informações, consulte Configurar a definição de política.
Requisito de permissões especiais para o Azure Policy com o Gerenciador de Rede Virtual do Azure
O Gerenciador de Rede Virtual do Azure (versão prévia) permite aplicar políticas de segurança e gerenciamento consistentes a várias redes virtuais do Azure em toda a infraestrutura de nuvem. Os grupos dinâmicos do AVNM (Virtual Network Manager) do Azure usam definições do Azure Policy para avaliar a associação à rede virtual nesses grupos.
Para criar, editar ou excluir políticas de grupo dinâmico do Gerenciador de Rede Virtual do Azure, você precisa:
- Ler e gravar permissões do Azure RBAC na política subjacente
- Permissões de RBAC do Azure para ingressar no grupo de rede. Não há suporte para a autorização do Administrador Clássico.
A permissão do provedor de recursos necessária é Microsoft.Network/networkManagers/networkGroups/join/action.
Importante
Para modificar os grupos dinâmicos do VNM, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para o Administrador Clássico ou autorização herdada. Se sua conta fosse atribuída apenas à função de assinatura de Co-Administrator, você não teria permissões nos grupos dinâmicos do AVNM.
Recursos cobertos pelo Azure Policy
Embora uma política possa ser atribuída no nível do grupo de gerenciamento, somente os recursos no nível da assinatura ou do grupo de recursos são avaliados.
Para determinados provedores de recursos, como configuração de computador, Serviço de Kubernetes do Azure e Azure Key Vault, há uma integração mais profunda para o gerenciamento de configurações e objetos. Para obter mais informações, acesse Modos de provedor de recursos.
Recomendações para o gerenciamento de políticas
Aqui estão alguns ponteiros e dicas para ter em mente:
Comece com um efeito tipo
auditouauditIfNotExists, em vez de um efeito de imposição (deny,modify,deployIfNotExists), para monitorar como sua definição de política afeta os recursos em seu ambiente. Se você já tiver scripts em vigor para dimensionamento automático de aplicativos, a configuração de um efeito de imposição poderá atrapalhar as tarefas de automação desse tipo que já estejam em vigor.Considere hierarquias organizacionais ao criar definições e atribuições. É recomendável criar definições em nível de assinatura ou em níveis superiores, tais como o grupo de gerenciamento. Em seguida, crie a atribuição do próximo nível filho. Se você criar uma definição de um grupo de gerenciamento, a atribuição poderá ser definida para uma assinatura ou grupo de recursos nesse grupo de gerenciamento.
Recomendamos a criação e a atribuição de definições de iniciativa, mesmo se começar com uma única definição de política. Esse método permite que você adicione definições de política à iniciativa posteriormente sem aumentar o número de atribuições a serem gerenciadas.
Por exemplo, imagine que você crie a definição de política policyDefA e a adicione à definição de iniciativa initiativeDefC. Se, posteriormente, você criar outra definição de política policyDefB com metas semelhantes a policyDefA, poderá adicioná-la a initiativeDefC e rastreá-las em conjunto.
Depois de criar uma atribuição de iniciativa, as definições de política adicionadas à iniciativa também se tornam parte das atribuições dessa iniciativa.
Quando uma atribuição de iniciativa é avaliada, todas as políticas de dentro da iniciativa também são avaliadas. Se for necessário executar uma política individualmente, é melhor não incluí-la em uma iniciativa.
Gerencie o Azure Policy como código com revisões manuais sobre alterações em definições de política, iniciativas e atribuições. Para saber mais sobre padrões e ferramentas sugeridos, consulte Design Azure Policy como fluxos de trabalho de código.
Objetos do Azure Policy
Os objetos incluem definições de política, definições de iniciativa e atribuições.
Definição de política
O percurso para criar e implementar uma política no Azure Policy começa quando você cria uma definição de política. Cada definição de política tem condições impostas. E ela tem um efeito definido que ocorre se as condições são atendidas.
No Azure Policy, oferecemos algumas políticas internas que estão disponíveis para você por padrão. Por exemplo:
- SKUs de Conta de Armazenamento Permitidas (Negar): Determina se uma conta de armazenamento que está sendo implantada está dentro de um conjunto de tamanhos de SKU. Seu efeito é negar todas as contas de armazenamento que não estão de acordo com o conjunto de tamanhos de SKU definido.
- Tipo de Recurso Permitido (Negar): Define os tipos de recursos que você pode implantar. Seu efeito é negar a todos os recursos que não fazem parte dessa lista definida.
- Locais permitidos (Negar): Restringe os locais disponíveis para novos recursos. O efeito é usado para impor seus requisitos de conformidade de área geográfica.
- SKUs de Máquinas Virtuais Permitidas (Negar): Especifica um conjunto de SKUs de máquina virtual que você pode implantar.
- Adicionar uma marca aos recursos (Modificar): aplica uma marca necessária e seu valor padrão se a solicitação de implantação não a especificar.
- Não são tipos de recurso permitidos (Negar): Impede que uma lista de tipos de recurso seja implantada.
Para implementar essas definições de política (definições internas e personalizadas), é necessário atribuí-las. Você pode atribuir qualquer uma dessas políticas usando o portal do Azure, o PowerShell ou a CLI do Azure.
A avaliação da política ocorre com diversas ações diferentes, tais como atribuição de política ou atualizações de política. Para obter uma lista completa, confira Gatilhos de avaliação de política.
Para saber mais sobre as estruturas de definições de política, examine os conceitos básicos da estrutura de definição do Azure Policy.
Parâmetros de política ajudam a simplificar o gerenciamento de política, reduzindo o número de definições de política que você precisa criar. Você pode definir parâmetros ao criar uma definição de política para torná-la mais genérica. Então você pode reutilizar essa definição de política para cenários diferentes. Faça isso passando valores diferentes ao atribuir a definição de política. Por exemplo, especificar um conjunto de locais para uma assinatura.
Os parâmetros são definidos quando você cria uma definição de política. A definição do parâmetro inclui o nome do parâmetro e os valores opcionais. Por exemplo, é possível definir um parâmetro para uma política intitulada local. Em seguida, você poderá atribuir valores diferentes, como EastUS ou WestUS ao atribuir uma política.
Para obter mais informações sobre parâmetros de política, consulte os parâmetros de estrutura de definição do Azure Policy.
Definição de iniciativa
Uma definição de iniciativa é uma coleção de definições de política que são adaptadas para atingirem uma só meta abrangente. Definições de iniciativa simplificam o gerenciamento e a atribuição de definições da política. Elas simplificam agrupando um conjunto de políticas como um único item. Por exemplo, você pode criar uma iniciativa intitulada Habilitar o monitoramento no Microsoft Defender para Nuvem., com uma meta para monitorar todas as recomendações de segurança disponíveis na instância do Microsoft Defender para Nuvem.
Observação
O SDK, como a CLI do Azure e o Azure PowerShell, usa propriedades e parâmetros chamados PolicySet para se referir a iniciativas.
Com essa iniciativa, você teria definições de política como:
- Monitorar um banco de dados SQL não criptografado no Microsoft Defender para Nuvem: para o monitoramento de servidores e bancos de dados SQL não criptografados.
- Monitorar as vulnerabilidades do sistema operacional no Microsoft Defender para Nuvem: para o monitoramento de servidores que não satisfazem à linha de base configurada.
- Monitorar um Endpoint Protection ausente no Microsoft Defender para Nuvem: para o monitoramento de servidores sem um agente do Endpoint Protection instalado.
Assim como parâmetros de política, os parâmetros de iniciativa ajudam a simplificar o gerenciamento iniciativa reduzindo a redundância. Parâmetros de iniciativa são parâmetros que estão sendo usados pelas definições de política dentro da iniciativa.
Por exemplo, no cenário a seguir, você tem uma definição de iniciativa initiativeC, com as definições de política policyA e policyB onde cada uma espera um tipo diferente de parâmetro:
| Policy | Nome do parâmetro | Tipo do parâmetro | Observação |
|---|---|---|---|
| policyA | allowedLocations |
matriz | Esse parâmetro espera uma lista de cadeias de caracteres para um valor, uma vez que o tipo de parâmetro foi definido como uma matriz. |
| policyB | allowedSingleLocation |
cadeia | Esse parâmetro espera uma palavra para um valor, já que o tipo de parâmetro foi definido como uma cadeia de caracteres. |
Ao definir os parâmetros de iniciativa para initiativeC, você tem três opções:
- Use os parâmetros das definições de política nessa iniciativa: neste exemplo,
allowedLocationseallowedSingleLocationtorne-se parâmetros de iniciativa para initiativeC. - Forneça valores para os parâmetros das definições de política dessa definição de iniciativa. Neste exemplo, você pode fornecer uma lista de locais para o parâmetro
allowedLocationse o policyBallowedSingleLocation. Você também pode fornecer valores ao atribuir essa iniciativa. - Forneça uma lista de opções de valor que podem ser usadas ao atribuir essa iniciativa. Ao atribuir essa iniciativa, os parâmetros herdados das definições de política dentro da iniciativa só poderão ter valores dessa lista fornecida.
Quando você cria opções de valor em uma definição de iniciativa, não é possível inserir um valor diferente durante a atribuição de iniciativa porque ele não faz parte da lista.
Para saber mais sobre as estruturas de definições de iniciativa, examine a estrutura de definição da iniciativa do Azure Policy.
Atribuições
Uma atribuição é uma definição de política ou iniciativa que foi atribuída a um escopo específico. Esse escopo pode variar de um grupo de gerenciamento a um recurso individual. O termo escopo se refere a todos os recursos, grupos de recursos, assinaturas ou grupos de gerenciamento aos quais a definição está atribuída. Todos os recursos filho herdam as atribuições. Esse design significa que se uma definição for aplicada a um grupo de recursos, ela será aplicada a todos os recursos desse grupo de recursos. No entanto, você pode excluir um subescopo da atribuição.
Por exemplo, no escopo da assinatura, você pode atribuir uma definição que impede a criação de recursos de rede. Você poderia excluir um grupo de recursos dentro dessa assinatura que se destina à infraestrutura de rede. Depois, você permite acesso a esse grupo de recursos de rede a usuários em que você confia para criar recursos de rede.
Em outro exemplo, o ideal é atribuir uma definição de lista de permitidos de tipo de recurso no nível do grupo de gerenciamento. Então você atribui uma política mais permissiva (permitindo mais tipos de recurso) em um grupo de gerenciamento filho ou até mesmo diretamente em assinaturas. No entanto, este exemplo não funcionaria, pois o Azure Policy é um sistema de negação explícito. Em vez disso, você precisa excluir o grupo de gerenciamento filho ou a assinatura da atribuição no nível do grupo de gerenciamento. Depois, atribua a definição mais permissiva no grupo de gerenciamento filho ou no nível da assinatura. Se qualquer atribuição resultar na negação de um recurso, a única maneira de permitir o recurso será modificar a atribuição de negação.
As atribuições de política sempre usam o estado mais recente de sua definição ou iniciativa atribuída ao avaliar recursos. Se uma definição de política atribuída for alterada, todas as atribuições existentes dessa definição usarão a lógica atualizada ao avaliar.
Para obter mais informações sobre como configurar atribuições de política por meio do portal, consulte Criar uma atribuição de política para identificar recursos que não estão em conformidade em seu ambiente do Azure. Etapas para o PowerShell e CLI do Azure também estão disponíveis. Para obter informações sobre a estrutura de atribuição, consulte a estrutura de atribuição do Azure Policy.
Contagem máxima de objetos do Azure Policy
Há uma contagem máxima para cada tipo de objeto do Azure Policy. Para as definições, uma entrada de Escopo significa o grupo de gerenciamento ou a assinatura. Nas atribuições e nas isenções, uma entrada de Escopo significa o grupo de gerenciamento, a assinatura, o grupo de recursos ou um recurso individual.
| Onde | O que | Contagem máxima |
|---|---|---|
| Scope | Definições de política | 500 |
| Scope | Definições de iniciativa | 200 |
| Locatário | Definições de iniciativa | 2.500 |
| Scope | Atribuições de iniciativa ou política | 200 |
| Scope | Isenções | 1000 |
| Definição de política | Parâmetros | 20 |
| Definição de iniciativa | Políticas | 1000 |
| Definição de iniciativa | Parâmetros | 400 |
| Atribuições de iniciativa ou política | Exclusões (notScopes) | 400 |
| Regra de política | Condicionais aninhadas | 512 |
| Tarefa de correção | Recursos | 50.000 |
| Corpo da solicitação de atribuição, iniciativa ou definição de política | Bytes | 1.048.576 |
As regras de política possuem mais limites para o número de condições e a complexidade delas. Para obter mais informações, consulte Limites de regra de política.
Próximas etapas
Agora que você tem uma visão geral do Azure Policy e alguns dos principais conceitos, use os links a seguir para saber mais sobre o serviço.