你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用 Azure Policy 和 Microsoft Defender for Cloud 等内置工具在 Azure 中定义和强制实施治理规则。 Azure 中的治理意味着设置规则和控制,帮助你安全地、高效地管理云资源,并符合目标。 无论你是单独工作还是运行小型初创公司,这些步骤都可以帮助你保持井然有序、避免意外,并在云中负责任地进行开发。
先决条件:创建 Azure 帐户。 初创公司 查看你是否符合 Azure 额度 的资格。
建立治理策略
设置明确的规则有助于在云中生成时保持一致并避免错误。 这些规则将指导你如何使用 Azure 并帮助你管理超支、配置错误或安全漏洞等风险。
首先确定可能影响云设置的风险。 考虑可能出了什么问题,例如在错误区域中部署资源、意外使用昂贵的服务或缺少安全设置。 使用 “评估云风险 ”指南探索常见风险,并确定哪些风险最重要。
记下要遵循的规则。 记录你的决策,以便你可以坚持这些决策,并根据需要与他人共享。 本文档可能包含应使用的区域、要避免的服务或标记资源的方式等内容。 使用 文档治理策略 指南来帮助构建笔记。
强制实施云治理
定义治理规则后,使用 Azure 工具自动应用这些规则。 这些工具可帮助你保持一致并尽早发现问题。
使用 Azure Policy 强制实施规则。Azure Policy 是一项免费服务,可用于在 Azure 环境中定义和应用规则。 这些被称为策略的规则可以阻止某些动作或跟踪这些动作以便进行评审。 Azure Policy 支持四个级别的范围:
策略范围 何时在此范围内应用策略 管理组 要在多个订阅上应用策略,请使用此范围。 Subscription 将策略应用于单个订阅中的所有资源。 资源组 目标是为项目或工作负荷整合在一起的特定资源集。 Resource 将策略应用于 Web 应用或存储帐户等单个资源。 从常规策略开始。 使用 一般 内置策略来:
- 需要资源和资源组上的标记来帮助跟踪和组织。
- 限制部署到哪些区域,以便管理成本和性能。
- 禁止 昂贵的资源类型以避免意外费用。
应用策略。 若要应用策略,请按照 分配策略 指南进行作。
使用 Microsoft Defender for Cloud 来提高安全性。 Microsoft Defender for Cloud 可帮助发现和修复 Azure 设置中的安全问题。 它包括免费工具,可帮助你采取措施来保护你的环境。 还可以将其连接到 Microsoft Defender XDR,以获取更高级的保护。 若要开始,请按照 将 Defender 连接到 Azure 订阅进行操作。
有关详细信息,请参阅 “强制实施云治理”。