Kurz: Zákaz typů prostředků ve vašem cloudovém prostředí

  • Článek

Jedním z oblíbenýchcílůch Firmy mají mnoho motivací k omezením typů prostředků. Například typy prostředků můžou být nákladné nebo můžou jít proti obchodním standardům a strategiím. Místo použití mnoha zásad pro jednotlivé typy prostředků nabízí Azure Policy dvě předdefinované zásady pro dosažení tohoto cíle:

Název
(Azure Portal)		 Popis Účinnost Verze
(GitHub)
Povolené typy prostředků Tato zásada umožňuje zadat typy prostředků, které může vaše organizace nasadit. Tyto zásady ovlivní jenom typy prostředků, které podporují značky a umístění. Chcete-li omezit všechny prostředky, duplikujte tuto zásadu a změňte režim na Vše. deny 1.0.0
Nepovolené typy prostředků Omezte, které typy prostředků je možné nasadit ve vašem prostředí. Omezení typů prostředků může snížit složitost a prostor pro útoky na vaše prostředí a zároveň pomáhá spravovat náklady. Výsledky dodržování předpisů se zobrazují jenom pro nevyhovující prostředky. Audit, Odepřít, Zakázáno 2.0.0

V tomto kurzu použijete zásady nepovolené typy prostředků a budete spravovat typy prostředků ve velkém měřítku prostřednictvím webu Microsoft Azure Portal.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přiřazení definice zásady

Prvním krokem při zakazování typů prostředků je přiřazení definice zásad zásad nepovolené typy prostředků.

  1. Na webu Azure Portal přejděte na Nepovolené typy prostředků.

    Screenshot of definition details screen for 'Not allowed resource types' policy.

  2. Vyberte tlačítko Přiřadit v horní části stránky.

  3. Na kartě Základy nastavte obor tak, že vyberete tři tečky a zvolíte skupinu pro správu, předplatné nebo skupinu prostředků. Ujistěte se, že vybraný obor má aspoň jeden dílčí obor . Pak v dolní části stránky Obor klikněte na Vybrat.

    V tomto příkladu se používá předplatné Contoso.

    Poznámka:

    Pokud tuto definici zásady přiřadíte k oboru kořenové skupiny pro správu, portál může rozpoznat nepovolené typy prostředků a zakázat je v zobrazení Všechny služby , aby uživatelé portálu věděli o omezení před pokusem o nasazení nepovoleného prostředku.

  4. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  5. Název přiřazení se automaticky vyplní názvem definice zásady, který jste vybrali, ale můžete ho změnit. Můžete také přidat volitelný popis pro zadání podrobností o tomto přiřazení zásad.

  6. Vynucování zásad ponechte povolené. Pokud je toto nastavení zakázané, umožňuje testování výsledku zásady bez aktivace efektu. Další informace najdete v režimu vynucení.

  7. Automaticky se vyplní podle toho, kdo je přihlášený. Toto pole je volitelné, takže do něj můžete zadávat vlastní hodnoty.

  8. Vyberte kartu Parametry v horní části průvodce. Tento kurz přeskočí kartu Upřesnit .

  9. U parametru Nepovolené typy prostředků vyhledejte a vyberte typy prostředků, které by neměly být povolené ve vašem cloudovém prostředí.

  10. Tato definice zásady nemá vliv modifydeployIfNotExists , takže nepodporuje úlohy nápravy. Pro účely tohoto kurzu přeskočte kartu Náprava .

  11. V horní části průvodce vyberte kartu Zprávy nedodržování předpisů.

  12. Nastavte zprávu o nedodržování předpisů na tento typ prostředku. Tato vlastní zpráva se zobrazí, když je prostředek během pravidelného vyhodnocení odepřen nebo pro nevyhovující prostředky.

  13. V horní části průvodce vyberte kartu Zkontrolovat a vytvořit.

  14. Zkontrolujte výběry a pak vyberte Vytvořit v dolní části stránky.

Zobrazení zakázaných typů prostředků na webu Azure Portal

Tento krok platí jenom v případě, že byla zásada přiřazena v oboru kořenové skupiny pro správu.

Teď, když jste přiřadili předdefinované definice zásad, přejděte na Všechny služby. Azure Portal o zakázaných typech prostředků z tohoto přiřazení zásad ví a zakáže je na stránce Všechny služby . Možnost Vytvořit není k dispozici pro zakázané typy prostředků.

Poznámka:

Pokud přiřadíte tuto definici zásad kořenové skupině pro správu, uživatelům se při prvním přihlášení zobrazí následující oznámení nebo pokud se zásady po přihlášení změní:

Zásady změněné správcem Provedl změny zásad pro váš účet. Doporučujeme aktualizovat portál tak, aby používal aktualizované zásady.

Screenshot of disallowed resources in All Services blade.

Vytvoření výjimky

Teď předpokládejme, že jeden dílčí rozsah by měl mít povolené typy prostředků zakázané touto zásadou. Pojďme vytvořit výjimku pro tento obor, aby jinak omezené prostředky mohly být nasazeny tam.

Upozorňující

Pokud tuto definici zásady přiřadíte k oboru kořenové skupiny pro správu, Azure Portal nedokáže detekovat výjimky v oborech nižší úrovně. Prostředky nepovolené přiřazením zásad se zobrazí jako zakázané ze seznamu Všechny služby a možnost Vytvořit není k dispozici. Prostředky ale můžete vytvořit v vyloučené oblasti pomocí klientů, jako jsou Azure CLI, Azure PowerShell nebo šablony Azure Resource Manageru.

  1. Na levé straně stránky služby Azure Policy v části Vytváření obsahu vyberte Přiřazení.

  2. Vyhledejte přiřazení zásad, které jste vytvořili.

  3. V horní části stránky vyberte tlačítko Vytvořit výjimku.

  4. Na kartě Základy vyberte obor výjimky, což je podskop, který by měl mít povolené prostředky omezené přiřazením této zásady.

  5. Vyplňte název výjimky požadovaným textem a jako výchozí kategorii výjimky ponechte. Nepřepínejte přepínač pro nastavení vypršení platnosti výjimky, protože tato výjimka nebude nastavená na vypršení platnosti. Volitelně přidejte popis výjimky a vyberte Zkontrolovat a vytvořit.

  6. Tento kurz obchází kartu Upřesnit . Na kartě Revize a vytvoření vyberte Vytvořit.

  7. Pokud chcete zobrazit výjimku, vyberte výjimky v části Vytváření na levé straně stránky Azure Policy.

Teď může mít váš dílčí rozsah typy prostředků, které zásady nepovolují.

Vyčištění prostředků

Pokud jste dokončili práci s prostředky z tohoto kurzu, pomocí následujících kroků odstraňte všechna přiřazení nebo definice zásad vytvořená v tomto kurzu:

  1. V části Vytváření na levé straně stránky Azure Policy vyberte Definice (nebo Přiřazení, pokud se pokoušíte odstranit přiřazení).

  2. Vyhledejte novou definici iniciativy nebo zásady (nebo přiřazení), kterou chcete odebrat.

  3. Klikněte na řádek pravým tlačítkem nebo vyberte tři tečky na konci definice (nebo přiřazení) a pak vyberte Odstranit definici (nebo Odstranit přiřazení).

Přehled

V tomto kurzu jste úspěšně provedli následující úlohy:

  • Přiřazení předdefinovaných zásad nepovolovaných typů prostředků k odepření vytváření nepovolovaných typů prostředků
  • Vytvořili jsme výjimku pro toto přiřazení zásad v dílčím oboru.

Pomocí této předdefinované zásady jste zadali typy prostředků, které nejsou povolené. Alternativou je přísnější přístup k určení typů prostředků, které jsou povoleny pomocí předdefinovaných zásad povolených typů prostředků.

Poznámka:

Všechny služby webu Azure Portal zakážou prostředky, které nejsou zadané v zásadách povoleného typu prostředků, pokud mode je nastavená All a zásada je přiřazená v kořenové skupině pro správu. Je to proto, že kontroluje všechny typy prostředků bez ohledu na a tagslocations. Pokud chcete, aby portál toto chování měl, duplikujte předdefinované zásady Povolené typy prostředků a změňte jeho mode hodnotu Indexed na Alla pak ho přiřaďte k oboru kořenové skupiny pro správu.

Další kroky

Další informace o strukturách definic zásad, přiřazení a výjimek najdete v těchto článcích:

Struktura definic Azure Policy – strukturapřiřazení azure Policy – strukturavýjimek pro Azure Policy

Úplný seznam předdefinovaných ukázek zásad najdete v tomto článku:

Struktura definic Azure Policy