Co je Azure Policy?
Služba Azure Policy pomáhá vynutit standardy organizace a vyhodnotit dodržování předpisů s podporou škálování. Prostřednictvím řídicího panelu pro dodržování předpisů poskytuje agregované zobrazení pro vyhodnocení celkového stavu prostředí s možností přechodu k podrobnostem podle prostředků a členitosti podle zásad. Také pomáhá zajistit, aby byly prostředky v souladu s hromadnou nápravou pro stávající prostředky a automatickou nápravu pro nové prostředky.
Běžné případy použití pro Azure Policy zahrnují implementaci zásad správného řízení pro konzistenci prostředků, dodržování legislativních předpisů, zabezpečení, náklady a správu. Definice zásad pro tyto běžné případy použití jsou už v prostředí Azure dostupné jako předdefinované, které vám pomůžou začít.
Všechna Azure Policyová data a objekty jsou v klidovém stavu šifrované. Další informace najdete v tématu šifrování dat Azure v klidovém umístění.
Přehled
Azure Policy vyhodnocuje prostředky v Azure porovnáním vlastností těchto prostředků s obchodními pravidly. Tato obchodní pravidla, která jsou popsaná ve formátu JSON, se označují jako definice zásad. Pro zjednodušení správy lze seskupit několik obchodních pravidel, aby bylo možné vytvořit iniciativu zásad (někdy se mu říká policySet). Po založení obchodních pravidel se definice nebo podnět zásady přiřadí k jakémukoli oboru prostředků, které Azure podporuje, jako jsou skupiny pro správu, předplatná, skupiny prostředkůnebo jednotlivé prostředky. Přiřazení se vztahuje na všechny prostředky v rámci rozsahu správce prostředků tohoto přiřazení. Podobory lze v případě potřeby vyloučit. Další informace najdete v tématu věnovaném oboru v Azure Policy.
Azure Policy používá formát JSON k vytvoření logiky, kterou vyzkoušení používá k určení, jestli je prostředek kompatibilní, nebo ne. Definice zahrnují metadata a pravidlo zásad. Definované pravidlo může používat funkce, parametry, logické operátory, podmínky a aliasy vlastností, aby odpovídaly přesně požadovanému scénáři. Pravidlo zásad určuje, které prostředky v oboru přiřazení se vyhodnotí.
Vysvětlení výsledků hodnocení
Prostředky se vyhodnocují v určitých časech během životního cyklu prostředků, životního cyklu přiřazení zásad a pravidelného průběžného vyhodnocení dodržování předpisů. Níže jsou uvedené časy nebo události, které způsobují vyhodnocování prostředku:
- Prostředek se vytvoří, aktualizuje nebo odstraní v oboru s přiřazením zásady.
- Zásada nebo iniciativa je nově přiřazena k oboru.
- Zásada nebo iniciativa, která je již přiřazena k oboru, je aktualizována.
- Během standardního cyklu hodnocení dodržování předpisů, ke kterému dochází každých 24 hodin.
Podrobné informace o tom, kdy a jak probíhá vyhodnocení zásad, najdete v tématu triggery vyhodnocení.
Řízení odpovědi na vyhodnocení
Obchodní pravidla pro zpracování nevyhovujících prostředků se mezi organizacemi značně liší. Příklady, jak organizace chce, aby platforma reagovala na nekompatibilní prostředek, zahrnuje:
- Odepřít změnu prostředku
- Zaznamenat změnu prostředku
- Změna prostředku před změnou
- Úprava prostředku po změně
- Nasazení souvisejících odpovídajících prostředků
Azure Policy zpřístupňuje každou z těchto obchodních odpovědí prostřednictvím použití efektů. Účinky se nastavují v části pravidla zásad v definici zásady.
Oprava prostředků, které nevyhovují předpisům
I když tyto efekty primárně ovlivňují prostředek při vytvoření nebo aktualizaci prostředku, Azure Policy také podporuje práci s existujícími nekompatibilními prostředky, aniž by bylo potřeba měnit tento prostředek. Další informace o tom, jak existující prostředky vyhovují, najdete v tématu Oprava Resources.
Přehled videí
Následující přehled služby Azure Policy se týká sestavení 2018. Pokud chcete stáhnout snímky nebo video, Projděte si téma Správa prostředí Azure prostřednictvím Azure Policy na webu Channel 9.
Začínáme
Azure Policy a Azure RBAC
Mezi Azure Policy a řízením přístupu na základě role Azure (Azure RBAC) existuje několik klíčových rozdílů. Azure Policy vyhodnocuje stav kontrolou vlastností u prostředků, které jsou zastoupeny v Správce prostředků a vlastnostech některých poskytovatelů prostředků. Azure Policy neomezuje akce (označují se také jako operace). Azure Policy zajistí, aby byl stav prostředku v souladu s vašimi obchodními pravidly bez obav, kdo provedl změnu nebo kdo má oprávnění provést změnu. Některé prostředky Azure Policy, jako jsou definice zásad, definice iniciativa přiřazení, jsou viditelné pro všechny uživatele. Tento návrh umožňuje průhlednost všem uživatelům a službám, pro které jsou pravidla zásad nastavená ve svém prostředí.
Azure RBAC se zaměřuje na správu uživatelských akcí v různých oborech. Pokud je potřeba řídit akci, je to správný nástroj pro použití Azure RBAC. I v případě, že má jednotlivec přístup k provedení určité akce, pokud je výsledkem nekompatibilní prostředek, Azure Policy stále zablokovat vytvoření nebo aktualizaci.
Kombinace Azure RBAC a Azure Policy poskytuje kompletní řízení oboru v Azure.
Oprávnění Azure RBAC v Azure Policy
Služba Azure Policy má několik oprávnění, která se označují jako operace, ve dvou poskytovatelích prostředků:
Řada předdefinovaných rolí uděluje oprávnění k prostředkům Azure Policy. Role Přispěvatel zásad prostředků zahrnuje většinu operací Azure Policy. Vlastník má plná práva. Všichni přispěvatelé a čtenáři mají přístup ke všem operacím čtení Azure Policy. Přispěvatel může aktivovat nápravu prostředků, ale nemůže vytvořit definice nebo přiřazení. Správce přístupu uživatele je nezbytný k udělení oprávnění ke spravované identitě v deployIfNotExists nebo k úpravám potřebných přiřazení. Všechny objekty zásad budou čitelné pro všechny role v rámci oboru.
Pokud žádná z předdefinovaných rolí nemá požadovaná oprávnění, vytvořte vlastní roli.
Poznámka
Spravovaná identita přiřazení zásady deployIfNotExists nebo Modify potřebuje dostatečná oprávnění k vytvoření nebo aktualizaci prostředků zacílené. Další informace najdete v tématu Konfigurace definic zásad pro nápravu.
Prostředky, na které se vztahuje Azure Policy
Azure Policy vyhodnocuje všechny prostředky Azure na úrovni předplatného, včetně prostředků s podporou ARC. Pro určité poskytovatele prostředků, jako je například Konfigurace hostů, Služba Azure Kubernetesa Azure Key Vault, je k dispozici hlubší integrace pro správu nastavení a objektů. Další informace najdete v tématu režimy poskytovatele prostředků.
Doporučení pro správu zásad
Tady je několik ukazatelů a tipů, které byste měli mít na paměti:
Zahajte s použitím efektu auditu místo zakazování, abyste mohli sledovat dopad definice zásad na prostředky ve vašem prostředí. Pokud již máte skripty pro automatické škálování vašich aplikací, může nastavení efektu odepření bránit na to, aby tyto úlohy Automation byly již zavedeny.
Při vytváření definic a přiřazení Vezměte v úvahu organizační hierarchie. Doporučujeme vytvořit definice na vyšších úrovních, například na úrovni skupiny pro správu nebo předplatného. Pak vytvořte přiřazení na další podřízené úrovni. Pokud vytvoříte definici ve skupině pro správu, může být přiřazení vymezeno níže v rámci předplatného nebo skupiny prostředků v této skupině pro správu.
Definice iniciativ doporučujeme vytvářet a přiřazovat i pro jednu definici zásad. Například máte definici zásad policyDefA a vytvoříte ji v části iniciativa definice initiativeDefC. Pokud později vytvoříte další definici zásad pro policyDefB s cíli podobnými policyDefA, můžete ho přidat pod initiativeDefC a sledovat společně.
Jakmile vytvoříte přiřazení iniciativy, definice zásad přidané k iniciativě se také stanou součástí přiřazení v této iniciativě.
Když se vyhodnotí přiřazení iniciativy, vyhodnotí se taky všechny zásady v iniciativě. Pokud potřebujete zásadu vyhodnotit jednotlivě, je lepší ji v iniciativě Nezahrnovat.
Azure Policy objekty
Definice zásady
Postup vytváření a implementace zásady v Azure Policy začíná vytvořením definice zásady. Každá definice zásady se vynucuje za určitých podmínek. A má definovaný účinek, který se provede, pokud jsou splněny podmínky.
V Azure Policy nabízíme několik předdefinovaných zásad, které jsou ve výchozím nastavení dostupné. Například:
- povolené skladové položky (Deny) účtu Storage (odepřít): určuje, jestli se nasazený účet úložiště nachází v rámci sady velikostí SKU. Jeho účinkem je odmítnutí všech účtů úložiště, které nedodržují sadu definovaných velikostí SKU.
- Povolený typ prostředku (odepřít): definuje typy prostředků, které můžete nasadit. Jeho účelem je Odepřít všechny prostředky, které nejsou součástí tohoto definovaného seznamu.
- Povolená umístění (odepřít): omezuje dostupná umístění pro nové prostředky. Účinkem je vynucení vašich požadavků na geografické dodržování předpisů.
- Povolené SKU virtuálních počítačů (odepřít): Určuje sadu SKU virtuálních počítačů, které můžete nasadit.
- Přidat značku do prostředků (Upravit): použije požadovanou značku a její výchozí hodnotu, pokud není zadána v žádosti o nasazení.
- Nepovolené typy prostředků (odepřít): zabrání v nasazení seznamu typů prostředků.
Pokud chcete implementovat tyto definice zásad (předdefinované i vlastní definice), budete je muset přiřadit. Jakékoli z těchto zásad můžeme přiřadit prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI.
Vyhodnocení zásad probíhá s několika různými akcemi, jako jsou přiřazení zásad nebo aktualizace zásad. Úplný seznam najdete v tématu triggery vyhodnocení zásad.
Další informace o strukturách definic zásad najdete v článku Struktura definic zásad.
Parametry zásad pomáhají zjednodušit správu zásad tím, že snižují počet definic zásad, které musíte vytvářet. Parametry můžete definovat při vytváření definice zásady a tím ji více zobecnit. Následně můžete tuto definici zásady použít opakovaně pro různé scénáře. Provedete to předáváním různých hodnot při přiřazování této definice zásady. Například můžete pro každé předplatné zadat jednu sadu umístění.
Parametry jsou definovány při vytváření definice zásady. Při definování dostane parametr název a volitelně i hodnotu. Pro zásadu můžete například definovat parametr s názvem location (umístění). Následně mu můžete při přiřazování zásady předávat různé hodnoty, například EastUS nebo WestUS.
Další informace o parametrech zásad najdete v tématu Struktura definice – parametry.
Definice iniciativy
Definice iniciativy je kolekce definic zásad, které jsou přizpůsobené dosažení jednotného navýšení cíle. Definice iniciativ zjednodušují správu a přiřazování definic zásad. Toto zjednodušení spočívá v seskupování sad zásad do jedné položky. Mohli byste například vytvořit iniciativu s názvem Povolení monitorování v Azure Security Center s cílem monitorovat všechna dostupná doporučení zabezpečení v Azure Security Center.
Poznámka
sada SDK, jako je Azure CLI a Azure PowerShell, používá k odkazování na iniciativy vlastnosti a parametry s názvem PolicySet .
V rámci této iniciativy byste měli například tyto definice zásad:
- monitorujte nešifrované SQL Database v Security Center – pro monitorování nešifrovaných SQL databází a serverů.
- Monitorování ohrožení zabezpečení operačního systému v Security Center – pro monitorovací servery, které nevyhovují nakonfigurovanému směrnému plánu.
- monitorovat chybějící Endpoint Protection v Security Center – pro monitorovací servery bez nainstalovaného agenta ochrany koncových bodů.
Podobně jako parametry zásad pomáhají parametry iniciativ zjednodušit správu iniciativ tím, že snižují redundanci. Parametry iniciativy jsou parametry používané definicemi zásad v rámci iniciativy.
Jako příklad může posloužit scénář, ve kterém máte definici iniciativy initiativeC s definicemi zásad policyA a policyB, z nichž každá očekává jiný typ parametru:
| Zásady | Název parametru | Typ parametru | Poznámka |
|---|---|---|---|
| policyA | allowedLocations | array | Tento parametr jako hodnotu očekává seznam řetězců, protože typ parametru byl definovaný jako pole. |
| policyB | allowedSingleLocation | řetězec | Tento parametr jako hodnotu očekává jedno slovo, protože typ parametru byl definovaný jako řetězec. |
V tomto scénáři máte při definování parametrů iniciativy pro initiativeC tři možnosti:
- Použít parametry definic zásad v rámci této iniciativy: V tomto příkladu se allowedLocations a allowedSingleLocation stanou parametry iniciativy pro initiativeC.
- Zadat hodnoty do parametrů definic zásad v rámci této definice iniciativy. V tomto příkladu můžete zadat seznam umístění parametrů Policy- allowedLocations a policyB parametrů- allowedSingleLocation. Hodnoty můžete zadat také při přiřazování této iniciativy.
- Zadat seznam možností hodnot, které se můžou použít při přiřazování této iniciativy. Když přiřadíte tuto iniciativu, zděděné parametry z definic zásad v rámci této iniciativy můžou mít pouze hodnoty z tohoto zadaného seznamu.
Při vytváření možností hodnot v definici iniciativy nemůžete zadat jinou hodnotu během přiřazení iniciativy, protože není součástí seznamu.
Další informace o strukturách definic iniciativ, přezkoumání struktury definice iniciativy.
Přiřazení
Přiřazení je definice zásady nebo iniciativa, která se má provést v rámci určitého oboru. Tento rozsah může být v rozsahu od skupiny pro správu k individuálnímu prostředku. Pojem oboru odkazuje na všechny prostředky, skupiny prostředků, odběry nebo skupiny pro správu, ke kterým je definice přiřazena. Přiřazení jsou děděna všemi podřízenými prostředky. Tento návrh znamená, že definice použitá pro skupinu prostředků se používá taky u prostředků v této skupině prostředků. Z přiřazení však můžete podobor vyloučit.
Například v oboru předplatného můžete přiřadit definici, která zabraňuje vytváření síťových prostředků. V tomto předplatném byste mohli vyloučit skupinu prostředků, která je určená pro síťovou infrastrukturu. Pak udělíte přístup k této skupině síťových prostředků uživatelům, kterým důvěřujete vytváření síťových prostředků.
V jiném příkladu můžete chtít přiřadit definici povolených typu prostředku na úrovni skupiny pro správu. Pak přiřadíte více opravňující zásady (povolení více typů prostředků) pro podřízenou skupinu pro správu nebo dokonce přímo na předplatných. Tento příklad ale nefunguje, protože Azure Policy je explicitní systém odmítnutí. Místo toho je potřeba vyřadit podřízenou skupinu pro správu nebo předplatné z přiřazení na úrovni skupiny pro správu. Pak přiřaďte přísnější definici na úrovni podřízené skupiny pro správu nebo předplatného. Pokud některý z přiřazení povede k odepření prostředku, pak jediným způsobem, jak prostředek povolit, je změnit přiřazení odmítnutí.
Další informace o nastavení přiřazení prostřednictvím portálu najdete v tématu vytvoření přiřazení zásady pro identifikaci prostředků, které nedodržují předpisy, v prostředí Azure. K dispozici jsou také kroky pro PowerShell a Azure CLI. Informace o struktuře přiřazení najdete v tématu Struktura přiřazení.
Maximální počet Azure Policy objektů
Maximální počet pro každý typ objektu je Azure Policy. Pro definice položka Obor znamená skupinu pro správu nebo předplatné. Pro přiřazení a výjimky položka Obor znamená skupinu pro správu,předplatné, skupinu prostředků nebo jednotlivý prostředek.
| Kde | Co | Maximální počet |
|---|---|---|
| Obor | Definice zásad | 500 |
| Obor | Definice iniciativ | 200 |
| Tenant | Definice iniciativ | 2,500 |
| Obor | Přiřazení zásad nebo iniciativ | 200 |
| Obor | Výjimky | 1000 |
| Definice zásady | Parametry | 20 |
| Definice iniciativy | Zásady | 1000 |
| Definice iniciativy | Parametry | 300 |
| Přiřazení zásad nebo iniciativ | Vyloučení (notScopes) | 400 |
| Pravidlo zásad | Vnořené podmíněné výrazy | 512 |
| Úloha nápravy | Zdroje informací | 500 |
Další kroky
Získali jste přehled o službě Azure Policy a některých klíčových konceptech. Tady je návrh dalších kroků: