Kurz: vytvoření a Správa zásad pro vymáhání dodržování předpisů

  • Článek
  • 16 min ke čtení

Porozumění vytváření a správě zásad v Azure je důležité pro zachování dodržování podnikových standardů a smluv o úrovni služeb. V tomto kurzu se dozvíte, jak pomocí služby Azure Policy provádět některé běžné úlohy související s vytvářením, přiřazováním a správou zásad v rámci celé organizace, jako například:

  • Přiřazení zásady vynucující podmínku u prostředků, které vytvoříte v budoucnu
  • Vytvoření a přiřazení definice iniciativy pro sledování dodržování předpisů u několika prostředků
  • Řešení problému s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem
  • Implementace nové zásady v rámci celé organizace

Pokud chcete přiřadit zásadu pro identifikaci aktuálního stavu dodržování předpisů u vašich existujících prostředků, postup najdete v článcích Rychlý start.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Přiřazení zásady

Prvním krokem při vynucování dodržování předpisů pomocí služby Azure Policy je přiřazení definice zásady. Definice zásady definuje, za jakých podmínek se zásada vynucuje a jaký účinek se má projevit. V tomto příkladu přiřaďte definici předdefinované zásady s názvem Zdědit značku ze skupiny prostředků, pokud chybí , aby se přidala Zadaná značka s hodnotou z nadřazené skupiny prostředků do nových nebo aktualizovaných prostředků, ve kterých chybí značka.

  1. Přiřaďte zásady tak, že přejdete na Azure Portal. Vyhledejte a vyberte zásady.

    Snímek obrazovky s hledáním zásad na panelu hledání

  2. Na levé straně stránky služby Azure Policy vyberte Přiřazení. Přiřazení je zásada, která byla přiřazena, aby proběhla v rámci zadaného oboru.

    Snímek obrazovky s výběrem uzlu přiřazení na stránce Přehled zásad

  3. V horní části stránky Zásady – Přiřazení vyberte Přiřadit zásadu.

    Snímek obrazovky s výběrem tlačítka přiřadit zásadu na stránce přiřazení

  4. Na stránce přiřadit zásady a na kartě základy vyberte obor tak, že vyberete tři tečky a vyberete buď skupinu pro správu nebo předplatné. Volitelně můžete vybrat skupinu prostředků. Obor určuje, pro které prostředky nebo seskupení prostředků se toto přiřazení zásady bude vynucovat. Pak vyberte Vybrat v dolní části stránky Rozsah .

    V tomto příkladu se používá předplatné Contoso . Vaše předplatné se bude lišit.

  5. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  6. Výběrem tří teček Definice zásady otevřete seznam dostupných definic. Můžete nastavit filtr pro Typ definic zásad na Předdefinované a zobrazit všechny definice zásad a přečíst si jejich popisy.

  7. Pokud chybí, vyberte možnost Zdědit značku ze skupiny prostředků. Pokud ho nemůžete hned najít, zadejte do vyhledávacího pole značku a pak stiskněte klávesu ENTER nebo vyberte mimo vyhledávací pole. Po nalezení a výběru definice zásady vyberte Vybrat v dolní části stránky dostupné definice .

    Snímek obrazovky vyhledávacího filtru při výběru definice zásady

  8. Do pole Název přiřazení se automaticky vyplní název vybrané zásady, který však můžete změnit. V tomto příkladu ponechte zděděnou značku ze skupiny prostředků, pokud chybí. Volitelně můžete přidat také Popis. Popis obsahuje podrobnosti o tomto přiřazení zásady.

  9. Nechte vynucení zásad Povolit. Když je toto nastavení zakázané, povolí testování výsledku zásady bez aktivace tohoto efektu. Další informace najdete v tématu režim vynucení.

  10. Přiřazeno uživatelem je automaticky vyplněno na základě toho, kdo je přihlášen. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.

  11. V horní části průvodce vyberte kartu parametry .

  12. Jako název značky zadejte prostředí.

  13. V horní části průvodce vyberte kartu náprava .

  14. Ponechte položku vytvořit úlohu nápravy nezaškrtnutou. V tomto poli můžete vytvořit úlohu pro změnu existujících prostředků kromě nových nebo aktualizovaných prostředků. Další informace najdete v tématu o nápravě prostředků.

  15. Možnost vytvořit spravovanou identitu se automaticky kontroluje, protože tato definice zásady používá efekt změny . Oprávnění se automaticky nastaví na Přispěvatel na základě definice zásady. Další informace najdete v tématech věnovaných spravovaným identitám a principu fungování zabezpečení náprav.

  16. V horní části průvodce vyberte kartu zprávy o nedodržení předpisů .

  17. Nastavte zprávu nesplňující požadavky na Tento prostředek nemá požadovanou značku. Tato vlastní zpráva se zobrazí, pokud je prostředek odepřený nebo nevyhovujícím prostředkům během pravidelného vyhodnocení.

  18. V horní části průvodce vyberte kartu Revize + vytvořit .

  19. Zkontrolujte výběr a potom v dolní části stránky vyberte vytvořit .

Implementace nové vlastní zásady

Teď, když jste přiřadili předdefinovanou definici zásady, můžete se službou Azure Policy provádět další akce. V dalším kroku vytvoříte novou vlastní zásadu, která šetří náklady tím, že ověří, že virtuální počítače vytvořené ve vašem prostředí nemůžou být v řadě G. To znamená, že pokaždé, když se uživatel ve vaší organizaci pokusí vytvořit virtuální počítač v řadě G, je žádost zamítnutá.

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou definice v části Authoring Group

  2. V horní části stránky vyberte + Definice zásady. Toto tlačítko se otevře na stránce definice zásad .

  3. Zadejte následující informace:

    • Skupina pro správu nebo předplatné, ve kterém je definice zásady uložená. Výběr proveďte pomocí tří teček v části Umístění definice.

      Poznámka

      Pokud se chystáte tuto definici zásady použít pro více předplatných, umístěním musí být skupina pro správu obsahující předplatná, ke kterým zásadu přiřadíte. Totéž platí i pro definici iniciativy.

    • Název definice zásady – vyžaduje SKU virtuálních počítačů, které nejsou v řadě G .

    • Popis toho, co definice zásad má dělat – Tato definice zásad vynutila, že všechny virtuální počítače vytvořené v tomto oboru mají jiné skladové položky než G series, aby se snížily náklady.

    • Zvolte některou z existujících možností (například Compute) nebo pro tuto definici zásady vytvořte novou kategorii.

    • Zkopírujte následující kód JSON a pak v něm podle potřeby aktualizujte:

      • Parametry zásady.
      • Pravidla a podmínky zásad, v tomto případě – velikost SKU virtuálního počítače se rovná řadě G
      • Účinek zásady, v tomto případě – zamítnutí.

    Tady je ukázka kódu JSON. Vložte svůj upravený kód na web Azure Portal.

    {
    "policyRule": {
        "if": {
            "allOf": [{
                    "field": "type",
                    "equals": "Microsoft.Compute/virtualMachines"
                },
                {
                    "field": "Microsoft.Compute/virtualMachines/sku.name",
                    "like": "Standard_G*"
                }
            ]
        },
        "then": {
            "effect": "deny"
        }
    }
}

    Vlastnost Field v pravidle zásad musí být podporovaná hodnota. V polích struktury definice zásadse našel úplný seznam hodnot. Příkladem aliasu může být "Microsoft.Compute/VirtualMachines/Size".

    Pokud chcete zobrazit další ukázky Azure Policy, přečtěte si téma Azure Policy Samples.

  4. Vyberte Uložit.

Vytvoření definice zásady pomocí rozhraní REST API

Můžete vytvořit zásadu s REST API pro Azure Policy definice. Toto rozhraní API umožňuje vytvářet a odstraňovat definice zásad a získávat informace o existujících definicích. Pokud chcete vytvořit definici zásady, použijte následující příklad:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Přiložte podobný text žádosti jako v následujícím příkladu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Vytvoření definice zásady pomocí PowerShellu

než budete pokračovat s příkladem powershellu, ujistěte se, že máte nainstalovanou nejnovější verzi Azure PowerShell Az module.

Definici zásady můžete vytvořit pomocí rutiny New-AzPolicyDefinition.

Pokud chcete vytvořit definici zásady ze souboru, předejte cestu k souboru. Pro externí soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Pro místní soubor použijte následující příklad:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Výstup se ukládá v objektu $definition, který se používá při přiřazování zásady. Následující příklad vytvoří definici zásady zahrnující parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Zobrazení definic zásad pomocí PowerShellu

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

Get-AzPolicyDefinition

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Vytvoření definice zásady pomocí Azure CLI

Definici zásady můžete vytvořit pomocí rozhraní příkazového řádku Azure pomocí az policy definition příkazu. Pokud chcete vytvořit definici zásady s vloženým pravidlem, použijte následující příklad:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Zobrazení definic zásad pomocí Azure CLI

Pokud chcete zobrazit všechny definice zásad ve svém předplatném, použijte následující příkaz:

az policy definition list

Příkaz vrátí všechny dostupné definice zásad, včetně předdefinovaných zásad. Všechny zásady se vrátí v následujícím formátu:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Vytvoření a přiřazení definice iniciativy

Pomocí definice iniciativy můžete seskupit několik definic zásad za účelem dosažení jednoho zastřešujícího cíle. Iniciativa vyhodnocuje prostředky v rámci rozsahu přiřazování dodržování předpisů pro zahrnuté zásady. Další informace o definicích iniciativ najdete v tématu Přehled služby Azure Policy.

Vytvoření definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

    Snímek obrazovky se stránkou definice ve skupině pro vytváření obsahu

  2. V horní části stránky vyberte + definice iniciativy a otevřete průvodce definice iniciativy .

    Snímek obrazovky stránky definice iniciativy a vlastností, které se mají nastavit

  3. Pro výběr skupiny pro správu nebo předplatného pro uložení definice použijte tři tečky umístění iniciativy . Pokud byla předchozí stránka vymezena na jednu skupinu pro správu nebo předplatné, bude automaticky vyplněno umístění iniciativy .

  4. Zadejte Název a Popis iniciativy.

    Tento příklad ověřuje, že prostředky jsou v souladu s definicemi zásad o zabezpečení. Pojmenujte iniciativu Zajištění zabezpečení a nastavte popis na: Tato iniciativa byla vytvořená za účelem zpracování všech definic zásad souvisejících se zabezpečením prostředků.

  5. V části Kategorie zvolte některou z existujících možností nebo vytvořte novou kategorii.

  6. Nastavte verzi iniciativy, například 1,0.

    Poznámka

    Hodnota verze je výhradně metadata a nepoužívá se pro aktualizace nebo žádné procesy služby Azure Policy.

  7. V dolní části stránky nebo na kartě zásady v horní části průvodce vyberte Další .

  8. Vyberte tlačítko přidat definice zásad a procházejte seznamem. Vyberte definice zásad, které chcete přidat k této iniciativě. V části získat zabezpečený podnět přidejte následující předdefinované definice zásad zaškrtnutím políčka vedle definice zásady:

    • Povolená umístění
    • monitorovat chybějící Endpoint Protection v Azure Security Center
    • Virtuální počítače, které nejsou přístupné z Internetu, by měly být chráněné pomocí skupin zabezpečení sítě
    • Azure Backup by měla být povolená Virtual Machines
    • Pro virtuální počítače by se mělo povolit šifrování disků
    • Přidejte nebo nahraďte značku v prostředcích (přidejte tuto definici zásady dvakrát).

    Po výběru jednotlivých definic zásad ze seznamu vyberte Přidat v dolní části seznamu. Vzhledem k tomu, že je přidaný dvakrát, je pro Přidání nebo nahrazení značky na základě definicí prostředků k disdílnému identifikátoru reference.

    Snímek obrazovky vybraných definic zásad s jejich referenčním ID a skupinou na stránce definice iniciativy

    Poznámka

    Vybrané definice zásad se dají přidat do skupin tak, že vyberete jednu nebo víc přidaných definic a vyberete Přidat vybrané zásady do skupiny. Skupina musí existovat jako první a lze ji vytvořit na kartě skupiny v průvodci.

  9. V dolní části stránky nebo na kartě skupiny v horní části průvodce vyberte Další . Na této kartě lze přidat nové skupiny. Pro tento kurz nepřidáme žádné skupiny.

  10. V dolní části stránky nebo na kartě parametry iniciativy v horní části průvodce vyberte Další . Pokud jsme chtěli, aby v iniciativě existoval parametr pro předávání jedné nebo více zahrnutých definic zásad, je zde definován parametr a pak se používá na kartě parametry zásad . Pro tento kurz nepřidáme žádné parametry iniciativy.

    Poznámka

    Po uložení do definice iniciativy nelze z iniciativy odstranit parametry iniciativy. Pokud už parametr iniciativy nepotřebujete, odeberte ho pomocí jakýchkoli parametrů definice zásad.

  11. V dolní části stránky klikněte na tlačítko Další nebo na kartu parametry zásad v horní části průvodce.

  12. Definice zásad přidané k iniciativě, které mají parametry, se zobrazí v mřížce. Typ hodnoty může být "výchozí hodnota", "nastavená hodnota" nebo "použít parametr iniciativy". Je-li vybrána možnost nastavit hodnotu, je související hodnota zadána pod hodnotou (Values). Pokud má parametr v definici zásady seznam povolených hodnot, je vstupním polem selektor rozevíracího seznamu. Pokud je zvolena možnost použít parametr iniciativy, je k dispozici rozevírací seznam s názvy parametrů iniciativy vytvořených na kartě parametry iniciativy .

    Snímek obrazovky s možnostmi pro povolené hodnoty pro parametr definice povolených umístění na kartě Parametry zásad stránky definice iniciativy

    Poznámka

    U některých parametrů strongType není možné automaticky určit seznam hodnot. V těchto případech se napravo od řádku parametru zobrazí tři tečky. Při výběru se otevře stránka obor parametru ( < název parametru > ). Na této stránce vyberte předplatné, které chcete použít k zadání možností hodnot. Tento obor parametru se používá pouze během vytváření definice iniciativy a nemá žádný vliv na vyhodnocování zásad ani na obor iniciativy po přiřazení.

    V rozevíracím seznamu nastavte hodnotu ' Povolit umístění ' na ' nastavit hodnotu ' a vyberte ' východní USA 2 '. Pro dvě instance definic zásad pro Přidání nebo nahrazení značky u prostředků nastavte parametry názvu značky na ' ENV ' a ' CostCenter ' a parametry hodnoty značky na ' test ' a ' Lab ', jak je uvedeno níže. Ostatní ponechte jako výchozí hodnotu. Použití stejné definice dvakrát v iniciativě, ale s různými parametry, tato konfigurace přidá nebo nahradí značku ENV hodnotou test a značkou CostCenter s hodnotou Lab u prostředků v rozsahu přiřazení.

    Snímek obrazovky se zadanými možnostmi pro povolené hodnoty pro parametr definice povolených umístění a hodnoty pro obě sady parametrů značek na kartě Parametry zásad stránky definice iniciativy.

  13. V dolní části stránky nebo v horní části průvodce vyberte zkontrolovat + vytvořit .

  14. Zkontrolujte nastavení a vyberte vytvořit.

Vytvoření definice iniciativy zásad pomocí Azure CLI

Definici iniciativy zásad můžete vytvořit pomocí rozhraní příkazového řádku Azure pomocí az policy set-definition příkazu. Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující příklad:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Vytvoření definice iniciativy zásad pomocí Azure PowerShell

definici iniciativy zásad můžete vytvořit pomocí Azure PowerShell New-AzPolicySetDefinition rutinou. Pokud chcete vytvořit definici iniciativy zásad s existující definicí zásad, použijte následující definiční soubor iniciativy zásad VMPolicySet.json :

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]

New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Přiřazení definice iniciativy

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Definice.

  2. Vyhledejte definici iniciativy Zajištění zabezpečení, kterou jste vytvořili dříve, a vyberte ji. V horní části stránky vyberte Přiřadit a otevřete stránku Zajištění zabezpečení: Přiřadit iniciativu.

    Snímek obrazovky s tlačítkem přiřadit na stránce definice iniciativy

    Můžete také vybrat a podržet (nebo kliknout pravým tlačítkem myši) na vybraném řádku nebo vybrat tři tečky na konci řádku kontextové nabídky. Pak vyberte přiřadit.

    Snímek obrazovky kontextové nabídky pro iniciativu pro výběr funkce přiřazení

  3. Vyplňte stránku Zajištění zabezpečení: Přiřadit iniciativu zadáním následujících ukázkových údajů. Můžete použít vlastní údaje.

    • Obor: Výchozím oborem se stane skupina pro správu nebo předplatné, kam jste iniciativu uložili. Obor můžete změnit a přiřadit tak iniciativu k předplatnému nebo ke skupině prostředků v rámci umístění pro uložení.
    • Vyloučení: Můžete nakonfigurovat jakékoli prostředky v rámci oboru, na které se nebude přiřazení iniciativy vztahovat.
    • Název definice a přiřazení iniciativy: Zajištění zabezpečení (předem se vyplní název přiřazované iniciativy).
    • Popis: Toto přiřazení iniciativy je přizpůsobené k vynucování této skupiny definic zásad.
    • Vynucení zásad: ponechat jako výchozí povolenou.
    • Přiřadil: Automaticky se vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadat vlastní hodnoty.

  4. V horní části průvodce vyberte kartu parametry . Pokud jste v předchozích krocích nakonfigurovali parametr iniciativy, nastavte sem hodnotu.

  5. V horní části průvodce vyberte kartu náprava . Políčko Vytvořit spravovanou identitu ponechte nezaškrtnuté. Toto políčko musí být zaškrtnuto, pokud je přiřazena zásada nebo podnět, včetně zásad s deployIfNotExists nebo úpravou efektů. Vzhledem k tomu, že zásady použité pro tento kurz neexistují, ponechte pole prázdné. Další informace najdete v tématech věnovaných spravovaným identitám a principu fungování zabezpečení náprav.

  6. V horní části průvodce vyberte kartu Revize + vytvořit .

  7. Zkontrolujte výběr a potom v dolní části stránky vyberte vytvořit .

Kontrola počátečního dodržování předpisů

  1. Na levé straně stránky služby Azure Policy vyberte Dodržování předpisů.

  2. Vyhledejte bezpečnostní iniciativu Get . Je nejspíš pořád ve stavu dodržování předpisů Nezahájeno. Pokud chcete získat úplné podrobnosti o přiřazení, vyberte iniciativu.

    Snímek obrazovky stránky dodržování předpisů v iniciativě zobrazující vyhodnocení přiřazení v nespuštěném stavu

  3. Po dokončení přiřazení iniciativy se na stránce Dodržování předpisů aktualizuje Stav dodržování předpisů na Vyhovuje.

    Snímek stránky s dodržováním předpisů v iniciativě, která zobrazuje vyhodnocení přiřazení, a v kompatibilním stavu.

  4. Výběrem jakékoli zásady na stránce dodržování předpisů v iniciativě se otevře stránka s podrobnostmi o dodržování předpisů pro tyto zásady. Tato stránka obsahuje podrobnosti o dodržování předpisů na úrovni prostředku.

Odebrání nekompatibilního nebo odepřeného prostředku z oboru s vyloučením

Po přiřazení iniciativy zásad pro vyžadování konkrétního umístění dojde k odepření veškerého prostředku vytvořeného v jiném umístění. V této části se dozvíte, jak vyřešit zamítnutou žádost o vytvoření prostředku vytvořením vyloučení pro jednu skupinu prostředků. Vyloučení brání vynucení zásady (nebo iniciativy) v této skupině prostředků. V následujícím příkladu je libovolné umístění ve vyloučené skupině prostředků povolené. Vyloučení se může vztahovat na předplatné, skupinu prostředků nebo na jednotlivé prostředky.

Poznámka

Výjimku za zásadu lze také použít k přeskočení vyhodnocení prostředku. Další informace najdete v tématu věnovaném oboru v Azure Policy.

Nasazení zabraňující přiřazeným zásadám nebo iniciativě můžete zobrazit ve skupině prostředků, která je cílem nasazení: vyberte nasazení v levé straně stránky a potom vyberte název nasazení neúspěšného nasazení. U zamítnutého prostředku je uvedený stav Zakázáno. Chcete-li určit zásadu nebo iniciativu a přiřazení, které prostředek odepřel, vyberte možnost neúspěšné. Kliknutím sem zobrazíte podrobnosti – > na stránce Přehled nasazení. Na pravé straně stránky se otevře okno s informacemi o chybě. V části Podrobnosti o chybě jsou identifikátory GUID souvisejících objektů zásad.

Snímek obrazovky s neúspěšným nasazením, které bylo zamítnuto přiřazením zásady

Na stránce Azure Policy: na levé straně stránky vyberte dodržování předpisů a vyberte iniciativu získat zabezpečenou zásadu. Na této stránce se zvýší počet odepření blokovaných prostředků. Na kartě události najdete podrobné informace o tom, kdo se pokusil vytvořit nebo nasadit prostředek, který byl zakázán definicí zásad.

Snímek obrazovky karty události a podrobností události zásad na stránce dodržování předpisů v iniciativách

V tomto příkladu Trent pekař, One z specialisty na řešení SR. Virtualization společnosti Contoso, jednalo se o požadovanou práci. Musíme pro výjimku udělit Trent prostor. Vytvořili jste novou skupinu prostředků, LocationsExcluded a další jí přidělíte výjimku tomuto přiřazení zásady.

Aktualizace přiřazení o vyloučení

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Přiřazení.

  2. Procházejte všemi přiřazeními zásad a otevřete přiřazení zásady získat zabezpečené .

  3. Nastavte vyloučení tak, že vyberete tři tečky a vyberete skupinu prostředků, kterou chcete vyloučit, LocationsExcluded v tomto příkladu. Vyberte Přidat do vybraného oboru a pak vyberte Uložit.

    Snímek obrazovky s možností vyloučení na stránce přiřazení iniciativy pro přidání Vyloučené skupiny prostředků do přiřazení zásady.

    Poznámka

    V závislosti na definici zásad a jejím účinku by bylo možné vyloučení taky udělit konkrétním prostředkům v rámci skupiny prostředků v rozsahu přiřazení. V tomto kurzu byl použit efekt odepření , protože by nebylo vhodné nastavit vyloučení u konkrétního prostředku, který již existuje.

  4. Vyberte zkontrolovat + Uložit a pak vyberte Uložit.

V této části jste si vyžádali zamítnutí žádosti vytvořením vyloučení pro jednu skupinu prostředků.

Vyčištění prostředků

Pokud jste dokončili práci s prostředky z tohoto kurzu, pomocí následujícího postupu odstraňte všechna přiřazení a definice zásad, které jste vytvořili výše:

  1. Vyberte definice (nebo přiřazení , pokud se pokoušíte odstranit přiřazení) v části vytváření obsahu v levé části stránky Azure Policy.

  2. Vyhledejte novou definici iniciativy nebo zásady (nebo přiřazení), kterou chcete odebrat.

  3. Klikněte na řádek pravým tlačítkem nebo vyberte tři tečky na konci definice (nebo přiřazení) a pak vyberte Odstranit definici (nebo Odstranit přiřazení).

Opakování

V tomto kurzu jste úspěšně provedli následující úlohy:

  • Přiřadili jste zásadu vynucující podmínku u prostředků, které vytvoříte v budoucnu.
  • Vytvořili a přiřadili jste definici iniciativy pro sledování dodržování předpisů u několika prostředků.
  • Vyřešili jste problém s prostředkem nedodržujícím předpisy nebo zamítnutým prostředkem.
  • Implementovali jste novou zásadu v rámci celé organizace.

Další kroky

Další informace o strukturách definic zásad najdete v tomto článku:

Struktura definic Azure Policy