Základy struktury definic Azure Policy

Definice služby Azure Policy popisují podmínky dodržování předpisů prostředků a účinek, který se má provést, pokud je splněna podmínka. Podmínka porovnává pole nebo hodnotu vlastnosti prostředku s požadovanou hodnotou. K polím vlastnosti prostředků se přistupuje pomocí aliasů. Pokud je pole vlastnosti prostředku polem, lze použít speciální alias pole k výběru hodnot ze všech členů pole a použít podmínky pro každou z nich. Přečtěte si další informace o podmínkách.

Pomocí přiřazení zásad můžete řídit náklady a spravovat prostředky. Můžete například zadat, že jsou povoleny pouze určité typy virtuálních počítačů. Nebo můžete vyžadovat, aby prostředky měly určitou značku. Přiřazení v oboru se vztahují na všechny prostředky v daném oboru a níže. Takže pokud se použije přiřazení zásad na skupinu prostředků, použije se na všechny prostředky v této skupině prostředků.

Pomocí kódu JSON vytvoříte definici zásad, která obsahuje elementy pro:

• displayName
• description
• mode
• metadata
• parameters
• policyRule
  • logické vyhodnocení
  • effect

Například následující JSON ukazuje zásadu, která omezuje, kde se nasazují prostředky:

{
  "properties": {
    "displayName": "Allowed locations",
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
    "mode": "Indexed",
    "metadata": {
      "version": "1.0.0",
      "category": "Locations"
    },
    "parameters": {
      "allowedLocations": {
        "type": "array",
        "metadata": {
          "description": "The list of locations that can be specified when deploying resources",
          "strongType": "location",
          "displayName": "Allowed locations"
        },
        "defaultValue": [
          "westus2"
        ]
      }
    },
    "policyRule": {
      "if": {
        "not": {
          "field": "location",
          "in": "[parameters('allowedLocations')]"
        }
      },
      "then": {
        "effect": "deny"
      }
    }
  }
}

Další informace najdete ve schématu definice zásad. Předdefinované vzory a vzory služby Azure Policy jsou v ukázkách služby Azure Policy.

Zobrazovaný název a popis

Použijete displayName a description identifikujete definici zásady a poskytnete kontext pro použití definice. Má displayName maximální délku 128 znaků a description maximální délku 512 znaků.

Poznámka:

Během vytváření nebo aktualizace definice idzásady jsou typename definovány vlastnostmi externími pro JSON a nejsou nutné v souboru JSON. Načtení definice zásady prostřednictvím sady SDK vrátí idhodnotu , typea name vlastnosti jako součást JSON, ale každá z nich jsou informace jen pro čtení související s definicí zásady.

Typ zásady

policyType Vlastnost sice nejde nastavit, ale sada SDK vrací tři hodnoty a jsou viditelné na portálu:

• Builtin: Společnost Microsoft poskytuje a udržuje tyto definice zásad.
• Custom: Všechny definice zásad vytvořené zákazníky mají tuto hodnotu.
• Static: Označuje definici zásad dodržování právních předpisů s vlastnictvím Microsoftu. Výsledky dodržování předpisů pro tyto definice zásad jsou výsledky auditů infrastruktury Microsoftu, které nejsou microsoftem. Na webu Azure Portal se tato hodnota někdy zobrazuje jako spravovaná Microsoftem. Další informace najdete v tématu Sdílená odpovědnost v cloudu.

Režim

Konfiguruje se mode v závislosti na tom, jestli zásady cílí na vlastnost Azure Resource Manageru nebo na vlastnost poskytovatele prostředků.

Režimy Resource Manageru

Určuje mode , které typy prostředků se vyhodnocují pro definici zásady. Podporované režimy jsou:

• all: Vyhodnocení skupin prostředků, předplatných a všech typů prostředků
• indexed: Vyhodnoťte pouze typy prostředků, které podporují značky a umístění.

Prostředek Microsoft.Network/routeTables například podporuje značky a umístění a vyhodnocuje se v obou režimech. Prostředek Microsoft.Network/routeTables/routes ale nejde označit a nevyhodnocuje se v Indexed režimu.

Doporučujeme nastavit ve modeall většině případů. Všechny definice zásad vytvořené prostřednictvím portálu all používají režim. Pokud používáte PowerShell nebo Azure CLI, můžete parametr zadat mode ručně. Pokud definice zásady neobsahuje mode hodnotu, výchozí all hodnota je v Azure PowerShellu a null v Azure CLI. null Režim je stejný jako použití indexed pro podporu zpětné kompatibility.

indexed je vhodné použít při vytváření zásad, které vynucuje značky nebo umístění. I když to není povinné, brání prostředkům, které nepodporují značky a umístění, se ve výsledcích dodržování předpisů nezobrazují jako nevyhovující předpisům. Výjimkou jsou skupiny prostředků a předplatná. Definice zásad, které vynucují umístění nebo značky ve skupině prostředků nebo předplatném, by měly být nastaveny modeMicrosoft.Resources/subscriptions/resourceGroups na all konkrétní cíl nebo Microsoft.Resources/subscriptions typ. Příklad najdete v tématu Vzor: Značky – Ukázka č. 1. Seznam prostředků, které podporují značky, najdete v tématu Podpora značek pro prostředky Azure.

Režimy poskytovatele prostředků

Plně podporované jsou následující režimy poskytovatele prostředků:

• Microsoft.Kubernetes.Data pro správu clusterů a komponent Kubernetes, jako jsou pody, kontejnery a příchozí přenos dat. Podporuje se pro clustery Azure Kubernetes Service a clustery Kubernetes s podporou Azure Arc. Definice používající tento režim poskytovatele prostředků používají efekty auditu, zamítnutí a zakázání.
• Microsoft.KeyVault.Data pro správu trezorů a certifikátů ve službě Azure Key Vault. Další informace o těchto definicích zásad najdete v tématu Integrace služby Azure Key Vault se službou Azure Policy.
• Microsoft.Network.Data pro správu vlastních zásad členství v Azure Virtual Network Manageru pomocí služby Azure Policy.

Následující režimy poskytovatele prostředků se v současné době podporují ve verzi Preview:

• Microsoft.ManagedHSM.Data pro správu klíčů modulu hardwarového zabezpečení (HSM) spravovaného hardwaru pomocí služby Azure Policy.
• Microsoft.DataFactory.Data pro použití Služby Azure Policy k odepření názvů domén odchozího provozu služby Azure Data Factory , které nejsou zadané v seznamu povolených. Tento režim poskytovatele prostředků je vynucování pouze a neoznamuje dodržování předpisů ve verzi Public Preview.
• Microsoft.MachineLearningServices.v2.Datapro správu nasazení modelu Azure Machine Učení. Tento režim poskytovatele prostředků hlásí dodržování předpisů pro nově vytvořené a aktualizované komponenty. Ve verzi Public Preview zůstanou záznamy dodržování předpisů po dobu 24 hodin. Nasazení modelu, která existují před přiřazením těchto definic zásad, neoznamují dodržování předpisů.

Poznámka:

Pokud není explicitně uvedeno, režimy poskytovatele prostředků podporují pouze předdefinované definice zásad a výjimky nejsou podporovány na úrovni komponent.

Metadata

Volitelná metadata vlastnost ukládá informace o definici zásady. Zákazníci mohou definovat jakékoli vlastnosti a hodnoty užitečné pro svoji organizaci v metadata. Existují ale některé běžné vlastnosti používané službou Azure Policy a integrované. Každá metadata vlastnost má limit 1 024 znaků.

Běžné vlastnosti metadat

• version (řetězec): Sleduje podrobnosti o verzi obsahu definice zásady.
• category (řetězec): Určuje, ve které kategorii na webu Azure Portal se zobrazí definice zásady.
• preview (logická hodnota): True nebo false flag for if the policy definition is Preview.
• deprecated (logická hodnota): True nebo false flag for if the policy definition is marked as deprecated.
• portalReview (řetězec): Určuje, zda mají být parametry zkontrolovány na portálu bez ohledu na požadovaný vstup.

Poznámka:

Služba Azure Policy používá versiona previewdeprecated vlastnosti ke sdělení úrovně změn do předdefinované definice nebo iniciativy a stavu zásad. Formát version je: {Major}.{Minor}.{Patch}. Ke vlastnosti nebo v jiné vlastnosti jako logická hodnota se připojují version konkrétní stavy, jako je zastaralé nebo náhled. Další informace o způsobu, jakým jsou integrované verze Azure Policy, najdete v tématu Předdefinované verze. Další informace o tom, co znamená, že zásady jsou zastaralé nebo ve verzi Preview, najdete v tématu Preview a zastaralé zásady.

Umístění definice

Při vytváření iniciativy nebo zásad je nutné zadat umístění definice. Umístění definice musí být skupina pro správu nebo předplatné. Toto umístění určuje obor, ke kterému lze přiřadit iniciativu nebo zásadu. Prostředky musí být přímí členy nebo podřízené položky v hierarchii umístění definice tak, aby cílily na přiřazení.

Pokud je umístění definice:

• Předplatné – Definici zásad je možné přiřadit pouze prostředky v rámci daného předplatného.
• Skupina pro správu – Definici zásad je možné přiřadit pouze prostředky v podřízených skupinách pro správu a podřízených předplatných. Pokud plánujete použít definici zásad pro několik předplatných, musí být umístění skupina pro správu, která obsahuje každé předplatné.

Další informace najdete v tématu Vysvětlení oboru ve službě Azure Policy.

Další kroky

• Další informace o struktuře definic zásad najdete v tématu parametry, pravidlo zásad a alias.
• V případě iniciativ přejděte ke struktuře definic iniciativ.
• Projděte si příklady v ukázkách azure Policy.
• Projděte si Vysvětlení efektů zásad.
• Seznamte se s programovým vytvářením zásad.
• Zjistěte, jak získat data dodržování předpisů.
• Zjistěte, jak napravit nevyhovující prostředky.
• Zkontrolujte, co je skupina pro správu pomocí uspořádání prostředků pomocí skupin pro správu Azure.