Verwenden der Azure Policy-Erweiterung für Visual Studio Code

Gilt für Version 0.1.2 der Azure Policy-Erweiterung (und höher)

Erfahren Sie, wie Sie die Azure Policy-Erweiterung für Visual Studio Code (VS Code) verwenden, um nach Aliasen zu suchen, Ressourcen und Richtliniendefinitionen zu überprüfen, Objekte zu exportieren und Richtliniendefinitionen auszuwerten. Zunächst wird beschrieben, wie Sie die Azure Policy-Erweiterung in Visual Studio Code installieren. Anschließend erfahren Sie, wie Sie Aliase suchen.

Die Azure Policy-Erweiterung für Visual Studio Code kann unter Linux, macOS und Windows installiert werden.

Voraussetzungen

Die folgenden Elemente sind zum Ausführen der Schritte in diesem Artikel erforderlich:

• Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
• Visual Studio Code

Installieren und Konfigurieren der Azure Policy-Erweiterung

Wenn die Voraussetzungen erfüllt sind, können Sie die Azure Policy-Erweiterung für Visual Studio Code mithilfe der folgenden Schritte installieren:

1. Öffnen Sie Visual Studio Code.
2. Navigieren Sie auf der Menüleiste zu Ansicht>Erweiterungen.
3. Geben Sie im Suchfeld Azure Policy ein.
4. Wählen Sie in den Suchergebnissen Azure Policy aus, und wählen Sie dann Installieren.
5. Wählen Sie bei Bedarf Erneut laden aus.

Führen Sie für Benutzer der nationalen Cloud die folgenden Schritte aus, um zunächst die Azure-Umgebung festzulegen:

1. Wählen Sie Datei>Einstellungen>Einstellungen aus.

2. Suchen Sie nach folgender Zeichenfolge: Azure: Cloud.

3. Wählen Sie in der Liste die nationale Cloud aus:

   

Verwenden der Azure Policy-Erweiterung

Hinweis

Lokal an Richtliniendefinitionen vorgenommene Änderungen, die in der Azure Policy-Erweiterung für Visual Studio Code angezeigt werden, werden nicht mit Azure synchronisiert.

Verbinden mit einem Azure-Konto

Zum Auswerten von Ressourcen und Suchen nach Aliasen müssen Sie eine Verbindung mit Ihrem Azure-Konto herstellen. Führen Sie die folgenden Schritte aus, um eine Verbindung mit Azure aus Visual Studio Code herzustellen:

1. Melden Sie sich über die Azure Policy-Erweiterung oder die Befehlspalette bei Azure an.

   • Azure Policy-Erweiterung

     Wählen Sie in der Azure Policy-Erweiterung die Option Bei Azure anmelden aus.

     

   • Befehlspalette

     Navigieren Sie auf der Menüleiste zu Ansicht>Befehlspalette, und geben Sie Azure: Anmelden ein.

     

2. Befolgen Sie die Anleitung für die Anmeldung, um sich bei Azure anzumelden. Nach dem Herstellen der Verbindung wird Ihr Azure-Kontoname unten im Visual Studio Code-Fenster in der Statusleiste angezeigt.

Auswählen von Abonnements

Bei der ersten Anmeldung werden nur die Ressourcen und Richtliniendefinitionen des Standardabonnements von der Azure Policy-Erweiterung geladen. Gehen Sie folgendermaßen vor, um Abonnements für die Anzeige von Ressourcen und Richtliniendefinitionen hinzuzufügen oder zu entfernen:

1. Starten Sie den Abonnementbefehl über die Befehlspalette oder die Fensterfußzeile.

   • Befehlspalette

     Navigieren Sie auf der Menüleiste zu Ansicht>Befehlspalette, und geben Sie Azure: Abonnements auswählen ein.

   • Fensterfußzeile

     Wählen Sie in der Fensterfußzeile am unteren Bildschirmrand das Segment aus, das Azure: <Ihr Konto> entspricht.

2. Verwenden Sie das Filterfeld, um Abonnements schnell nach Namen zu finden. Dann aktivieren bzw. deaktivieren Sie die einzelnen Abonnements, um die von der Azure Policy-Erweiterung angezeigten Abonnements festzulegen. Nachdem Sie Abonnements für die Anzeige hinzugefügt oder entfernt haben, klicken Sie auf OK.

Suchen nach und Anzeigen von Ressourcen

Die Azure Policy-Erweiterung listet Ressourcen in den ausgewählten Abonnements nach Ressourcenanbieter und nach Ressourcengruppe im Bereich Ressourcen auf. Die Strukturansicht enthält die folgenden Gruppierungen von Ressourcen innerhalb des ausgewählten Abonnements oder auf Abonnementebene:

• Ressourcenanbieter
  • Jeder registrierte Ressourcenanbieter mit Ressourcen und zugehörigen untergeordneten Ressourcen, die Richtlinienaliase aufweisen
• Ressourcengruppen
  • Alle Ressourcen nach der Ressourcengruppe, in der sie enthalten sind

Standardmäßig filtert die Erweiterung den Abschnitt „Ressourcenanbieter“ nach vorhandenen Ressourcen und Ressourcen mit Richtlinienaliasen. Ändern Sie dieses Verhalten unter Einstellungen>Erweiterungen>Azure Policy, um alle Ressourcenanbieter ohne Filter anzuzeigen.

Kunden mit Hunderten oder Tausenden von Ressourcen in einem einzelnen Abonnement bevorzugen möglicherweise eine Suchmethode zum Auffinden ihrer Ressourcen. Die Azure Policy-Erweiterung ermöglicht die Suche nach einer bestimmten Ressource mit den folgenden Schritten:

1. Starten Sie die Suchschnittstelle über die Azure Policy-Erweiterung oder die Befehlspalette.

   • Azure Policy-Erweiterung

     Zeigen Sie in der Azure Policy-Erweiterung auf den Bereich Ressourcen, und wählen Sie die Auslassungspunkte und dann Ressourcen suchen aus.

   • Befehlspalette

     Navigieren Sie in der Menüleiste zu Ansicht>Befehlspalette, und geben Sie Azure Policy: Ressourcen durchsuchen ein.

2. Wenn mehr als ein Abonnement für die Anzeige ausgewählt ist, wählen Sie mit dem Filter das zu durchsuchende Abonnement aus.

3. Wählen Sie mit dem Filter aus, welche Ressourcengruppe durchsucht werden soll, die Teil des zuvor ausgewählten Abonnements ist.

4. Wählen Sie mit dem Filter aus, welche Ressource angezeigt werden soll. Der Filter kann sowohl für den Ressourcennamen als auch den Ressourcentyp verwendet werden.

Ermitteln von Aliasen für Ressourceneigenschaften

Bei Auswahl einer Ressource (unabhängig davon, ob über die Suchschnittstelle oder durch Auswahl in der Strukturansicht) öffnet die Azure Policy-Erweiterung die JSON-Datei (JavaScript Object Notation), die diese Ressource und alle zugehörigen Azure Resource Manager-Eigenschaftswerte repräsentiert.

Sobald eine Ressource geöffnet ist, wird beim Zeigen auf den Namen oder den Wert der Resource Manager-Eigenschaft der Azure Policy-Alias angezeigt (sofern vorhanden). In diesem Beispiel ist die Ressource vom Typ Microsoft.Compute/virtualMachines, und es wird auf die Eigenschaft properties.storageProfile.imageReference.offer gezeigt. Beim Zeigen werden die entsprechenden Aliase eingeblendet.

Hinweis

Die VS Code-Erweiterung unterstützt nur die Auswertung von Eigenschaften des Resource Manager-Modus. Weitere Informationen zu den Modi finden Sie in den Modusdefinitionen.

Suchen nach und Anzeigen von Richtliniendefinitionen und -zuweisungen

Die Azure Policy-Erweiterung listet Richtlinientypen und Richtlinienzuweisungen in Form einer Strukturansicht für die Abonnements auf, die zur Anzeige im Bereich Richtlinien ausgewählt wurden. Kunden mit Hunderten oder Tausenden von Richtliniendefinitionen oder -zuweisungen in einem einzelnen Abonnement bevorzugen möglicherweise eine Suchmethode zum Auffinden ihrer Richtliniendefinitionen oder -zuweisungen. Die Azure Policy-Erweiterung ermöglicht die Suche nach einer bestimmten Richtlinie oder Zuweisung mit den folgenden Schritten:

1. Starten Sie die Suchschnittstelle über die Azure Policy-Erweiterung oder die Befehlspalette.

   • Azure Policy-Erweiterung

     Zeigen Sie in der Azure Policy-Erweiterung auf den Bereich Richtlinien, und wählen Sie die Auslassungspunkte und dann Richtlinien suchen aus.

   • Befehlspalette

     Navigieren Sie in der Menüleiste zu Ansicht>Befehlspalette, und geben Sie Azure Policy: Richtlinien durchsuchen ein.

2. Wenn mehr als ein Abonnement für die Anzeige ausgewählt ist, wählen Sie mit dem Filter das zu durchsuchende Abonnement aus.

3. Wählen Sie mit dem Filter aus, welcher Richtlinientyp oder welche Richtlinienzuweisung durchsucht werden soll, die Teil des zuvor ausgewählten Abonnements ist.

4. Wählen Sie mit dem Filter aus, welche Richtlinie angezeigt werden soll. Der Filter kann für displayName für die Richtliniendefinition oder die Richtlinienzuweisung verwendet werden.

Bei Auswahl einer Richtlinie oder Zuweisung (unabhängig davon, ob über die Suchschnittstelle oder durch Auswahl in der Strukturansicht) öffnet die Azure Policy-Erweiterung die JSON-Datei, die diese Richtlinie oder Zuweisung und alle zugehörigen Resource Manager-Eigenschaftswerte darstellt. Die Erweiterung kann das geöffnete Azure Policy-JSON-Schema überprüfen.

Exportieren von Objekten

Objekte aus Ihren Abonnements können in eine lokale JSON-Datei exportiert werden. Zeigen Sie im Bereich Ressourcen oder Richtlinien mit der Maus auf ein exportierbares Objekt, oder wählen Sie ein solches Objekt aus. Wählen Sie am Ende der markierten Zeile das Symbol zum Speichern aus, und wählen Sie dann einen Ordner zum Speichern der JSON-Ressourcendatei aus.

Die folgenden Objekte können lokal exportiert werden:

• Bereich „Ressourcen“
  • Ressourcengruppen
  • Einzelne Ressourcen (entweder in einer Ressourcengruppe oder unter einem Ressourcenanbieter)
• Bereich „Richtlinien“
  • Richtlinienzuweisungen
  • Integrierte Richtliniendefinitionen
  • Benutzerdefinierte Richtliniendefinitionen
  • Initiativen

Bedarfsgesteuerter Auswertungsscan

Ein Auswertungsscan kann mit der Azure Policy-Erweiterung für Visual Studio Code gestartet werden. Wählen Sie zum Starten einer Auswertung alle folgenden Objekte aus, und heften Sie sie an: eine Ressource, eine Richtliniendefinition und eine Richtlinienzuweisung.

1. Suchen Sie zum Anheften der einzelnen Objekte entweder im Bereich Ressourcen oder im Bereich Richtlinien nach den Objekten, und wählen Sie das Symbol zum Anheften an eine Bearbeitungsregisterkarte aus. Durch das Anheften eines Objekts wird es zum Bereich Auswertung der Erweiterung hinzugefügt.
2. Wählen Sie im Bereich Auswertung jeweils eins der einzelnen Objekte aus, und verwenden Sie das Symbol zum Auswählen für die Auswertung, um die Objekte als in der Auswertung enthalten zu markieren.
3. Wählen Sie oben im Bereich Auswertung das Symbol zum Ausführen der Auswertung aus. In Visual Studio Code wird ein neuer Bereich mit den resultierenden Auswertungsdetails im JSON-Format geöffnet.

Hinweis

Verwenden Sie für die Richtliniendefinition AuditIfNotExists oder DeployIfNotExists im Bereich Auswertung das Pluszeichen oder Azure Policy: Ressource für Existenzprüfung auswählen (nur für if-not-exists-Richtlinien verwendet) , um eine verwandte Ressource für die Existenzprüfung auszuwählen.

Die Auswertungsergebnisse enthalten Informationen zur Richtliniendefinition und die Richtlinienzuweisung sowie die Eigenschaft policyEvaluations.evaluationResult. Die Ausgabe sieht etwa folgendermaßen aus:

{
    "policyEvaluations": [
        {
            "policyInfo": {
                ...
            },
            "evaluationResult": "Compliant",
            "effectDetails": {
                "policyEffect": "Audit",
                "existenceScope": "None"
            }
        }
    ]
}

Hinweis

Die VS Code-Erweiterung unterstützt nur die Auswertung von Eigenschaften des Resource Manager-Modus. Weitere Informationen zu den Modi finden Sie in den Modusdefinitionen.

Die Auswertungsfunktion funktioniert nicht bei Installationen der Erweiterung unter macOS und Linux.

Erstellen einer Richtliniendefinition aus einer Einschränkungsvorlage oder Mutationsvorlage

Die VS Code-Erweiterung kann eine Richtliniendefinition aus einer vorhandenen Open Policy Agent (OPA) GateKeeper v3 Einschränkungsvorlage oder einer vorhandenen Mutationsvorlage erstellen. Die YAML-Datei (YAML Ain't Markup Language) muss in VS Code geöffnet sein, damit die Befehlspalette eine Option ist.

1. Öffnen Sie eine gültige OPA GateKeeper v3-YAML-Einschränkungsvorlagendatei.

2. Wechseln Sie auf der Menüleiste zu Ansicht>Befehlspalette und geben Sie Azure-Richtlinie für Kubernetes ein: Erstellen einer Richtliniendefinition aus Einschränkungsvorlage oder Mutation.

3. Wählen Sie den entsprechenden sourceType-Wert aus.

4. Füllen Sie die /* EDIT HERE */-Teile der JSON-Datei der Richtliniendefinition aus.

Während die Erweiterung die JSON-Datei einer Richtliniendefinition generiert, wird die Definition in Azure nicht erstellt. Nachdem Sie die entsprechenden Felder „edit here“ („Hier bearbeiten“) ausgefüllt haben, verwenden Sie die fertige JSON-Datei der Richtliniendefinition und das Azure-Portal oder das unterstützte SDK, um die Richtliniendefinition in Ihrer Azure-Umgebung zu erstellen.

Abmelden

Navigieren Sie auf der Menüleiste zu Ansicht>Befehlspalette, und geben Sie dann Azure: Abmelden ein.

Nächste Schritte

• Sehen Sie sich die Beispiele unter Azure Policy-Beispiele an.
• Schauen Sie sich die Informationen unter Struktur von Azure Policy-Definitionen an.
• Lesen Sie Grundlegendes zu Azure Policy-Auswirkungen.
• Informieren Sie sich über das programmgesteuerte Erstellen von Richtliniendefinitionen.
• Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.
• Weitere Informationen zu Verwaltungsgruppen finden Sie unter Organisieren Ihrer Ressourcen mit Azure-Verwaltungsgruppen.