Verwenden von Richtlinien zum Durchsetzen von Standards

  • 7 Minuten

Sie organisieren Ihre Ressourcen nun mithilfe von Ressourcengruppen besser und haben Ihren Ressourcen Tags zugewiesen, um sie in Abrechnungsberichten und in Ihrer Überwachungslösung zu verwenden. Das Bilden von Ressourcengruppen und das Zuweisen von Tags haben bei sich bei den vorhandenen Ressourcen vorteilhaft ausgewirkt. Aber wie können Sie sicherstellen, dass für neue Ressourcen die Regeln eingehalten werden? Sehen wir uns einmal an, wie Richtlinien Ihnen helfen können, Standards in Ihrer Azure-Umgebung durchzusetzen.

Was ist Azure Policy?

Azure Policy ist ein Dienst, mit dem Sie Richtlinien erstellen, zuweisen und verwalten können. Mit diesen Richtlinien werden Regeln angewendet und durchgesetzt, die Ihre Ressourcen befolgen müssen. Diese Richtlinien können diese Regeln bei der Erstellung von Ressourcen durchsetzen und Sie können sie anhand vorhandener Ressourcen bewerten, um Einblick in die Compliance zu erhalten.

Richtlinien können Regeln durchsetzen, z. B. dass nur bestimmte Ressourcentypen erstellt werden dürfen oder dass nur Ressourcen in bestimmten Azure-Regionen erlaubt sind. Sie können Benennungskonventionen für Ihre Azure-Umgebung erzwingen. Sie können auch erzwingen, dass Ressourcen bestimmte Tags zugewiesen werden. Werfen wir einen Blick auf die Funktionsweise von Richtlinien.

Erstellen einer Richtlinie

Sie möchten sicherstellen, dass alle Ressourcen mit dem Tag Abteilung versehen sind, und die Erstellung verhindern, wenn das Tag nicht vorhanden ist. Sie müssen eine neue Richtliniendefinition erstellen und sie einem Geltungsbereich zuordnen. In diesem Fall ist der Geltungsbereich unsere Ressourcengruppe msftlearn-core-infrastructure-rg. Richtlinien können über das Azure-Portal, Azure PowerShell oder die Azure CLI erstellt und zugewiesen werden. Im Rahmen dieser Übung erstellen Sie eine Richtlinie im Portal.

Erstellen der Richtliniendefinition

  1. Navigieren Sie in einem Webbrowser zum Azure-Portal, falls noch nicht geschehen. Geben Sie auf der oberen Navigationsleiste in das Suchfeld Richtlinie ein, und wählen Sie den Dienst Policy aus.

  2. Wählen Sie im linken Menü im Abschnitt Erstellung den Bereich Definitionen aus.

  3. Daraufhin sollte eine Liste der integrierten Richtlinien angezeigt werden, die Sie verwenden können. In diesem Fall erstellen Sie eine eigene benutzerdefinierte Richtlinie. Wählen Sie im oberen Menü + Richtliniendefinition aus.

  4. Über diese Schaltfläche wird das Dialogfeld Neue Richtliniendefinition eingeblendet. Zum Festlegen des Definitionsspeicherorts klicken Sie auf die blaue Schaltfläche zum Starten der Bereichsauswahl (...). Wählen Sie das Abonnement aus, in dem die Richtlinie gespeichert ist. Dieses muss dem Abonnement unserer Ressourcengruppe entsprechen. Wählen Sie die Schaltfläche Auswählen aus.

  5. Geben Sie im Dialogfeld Neue Richtliniendefinition den Namen Tag für Ressource erzwingen im Feld Name ein.

  6. Geben Sie als Beschreibung Folgendes ein: Diese Richtlinie erzwingt das Vorhandensein eines Tags für eine Ressource.

  7. Wählen Sie für Kategorie die Option Vorhandene verwenden und dann die Kategorie Allgemein aus.

  8. Löschen Sie für Richtlinienregel den gesamten Text im Feld, und fügen Sie folgenden JSON-Code ein:

    {
  "mode": "Indexed",
  "policyRule": {
    "if": {
      "field": "[concat('tags[', parameters('tagName'), ']')]",
      "exists": "false"
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {
    "tagName": {
      "type": "String",
      "metadata": {
        "displayName": "Tag Name",
        "description": "Name of the tag, such as 'environment'"
      }
    }
  }
}

    Die Richtliniendefinition sieht nun wie im folgenden Beispiel gezeigt aus. Klicken Sie auf Speichern, um Ihre Richtliniendefinition zu speichern.

    Screenshot of Azure portal showing the new policy definition dialog.

Erstellen einer Richtlinienzuweisung

Sie haben zwar die Richtlinie erstellt, sie aber noch nicht in Kraft gesetzt. Um die Richtlinie zu aktivieren, müssen Sie eine Zuweisung erstellen. In diesem Fall weisen Sie diese dem Geltungsbereich Ihrer Ressourcengruppe msftlearn-core-infrastructure-rg zu, damit sie für alle Inhalte der Ressourcengruppe gilt.

  1. Wählen Sie auf der linken Seite im Bereich „Richtlinie“ im Abschnitt Erstellung die Option Zuweisungen aus.

  2. Klicken Sie oben auf Richtlinie zuweisen.

  3. Im Bereich Richtlinie zuweisen weisen Sie Ihrer Ressourcengruppe Ihre Richtlinie zu. Wählen Sie für Bereich die blaue Startbereichsauswahl (...) aus. Wählen Sie Ihr Abonnement und die Ressourcengruppe msftlearn-core-infrastructure-rg aus, und klicken Sie dann auf Auswählen.

  4. Wählen Sie für Richtliniendefinition die blaue Startrichtliniendefinitionsauswahl (...) aus. Wählen Sie in der Dropdownliste Typ die Option Benutzerdefiniert und dann die von Ihnen erstellte Richtlinie Tag für Ressource erzwingen aus, und wählen Sie dann die Schaltfläche Hinzufügen aus.

  5. Wählen Sie im oberen Bereich des Bildschirms die Registerkarte Parameter aus.

  6. Geben Sie im Bereich Parameter den Wert Abteilung für den Tagnamen ein.

  7. Wählen Sie Überprüfen + erstellen und dann auf Erstellen aus, um die Zuweisung zu erstellen.

Testen der Richtlinie

Nachdem Sie nun Ihrer Ressourcengruppe die Richtlinie zugewiesen haben, werden alle Versuche misslingen, eine Ressource ohne das Tag Abteilung zu erstellen.

Wichtig

Beachten Sie, dass es bis zu 30 Minuten dauern kann, bis die Richtlinienzuweisung wirksam wird. Aufgrund dieser Verzögerung kann in den folgenden Schritten die Richtlinienvalidierung erfolgreich sein, aber die Bereitstellung wird trotzdem fehlschlagen. Warten Sie in diesem Fall noch etwas, und wiederholen Sie dann die Bereitstellung.

  1. Wählen Sie im Menü des Azure-Portals oder über die Startseite die Option Ressource erstellen aus.

  2. Suchen Sie nach Speicherkonto, und wählen Sie die Option Speicherkonto aus. Wählen Sie in den Ergebnissen Erstellen aus.

  3. Wählen Sie Ihr Abonnement und dann die Ressourcengruppe msftlearn-core-infrastructure-rg aus.

  4. Geben Sie für Speicherkontoname einen beliebigen Namen Ihrer Wahl ein. Beachten Sie jedoch, dass es sich um einen global eindeutigen Namen handeln muss.

  5. Behalten Sie für die restlichen Optionen die Standardeinstellungen bei, und wählen Sie Überprüfen aus.

    Die Überprüfung Ihrer Ressourcenerstellung wird fehlschlagen, weil Ihrer Ressource das Tag Abteilung nicht zugewiesen ist. Wenn die Richtlinie keinen Überprüfungsfehler verursacht hat, müssen Sie möglicherweise einige Minuten warten, bis die Richtlinie aktiviert ist.

    Screenshot of Azure portal showing a policy validation failure on a new storage account without a tag.

    Korrigieren Sie den Verstoß, damit Sie das Speicherkonto bereitstellen können.

  6. Klicken Sie oben im Bereich Speicherkonto erstellen auf Tags.

  7. Fügen Sie der Liste ein Department:Finance-Tag hinzu.

    Screenshot of Azure portal showing a new Department tag to add during creation.

  8. Klicken Sie jetzt auf Überprüfen. Die Validierung ist jetzt erfolgreich. Wenn Sie auf Erstellen klicken, wird Ihr Speicherkonto erstellt.

Verwenden von Richtlinien zum Durchsetzen von Standards

Sie haben gesehen, wie Sie Richtlinien verwenden können, um sicherzustellen, dass Ihre Ressourcen die Tags aufweisen, mit denen Sie Ihre Ressourcen organisieren. Es gibt andere Möglichkeiten, wie wir Richtlinien zu unserem Vorteil nutzen können.

Sie können eine Richtlinie verwenden, um die Azure-Regionen einzuschränken, für die Sie Ressourcen bereitstellen können. Für Organisationen, die stark reguliert sind oder für die gesetzliche oder regulatorische Beschränkungen gelten, wo sich Daten befinden dürfen, können Richtlinien sicherstellen, dass Ressourcen nicht in geografischen Regionen bereitgestellt werden, die diesen Anforderungen widersprechen.

Sie könnten eine Richtlinie verwenden, um einzuschränken, welche VM-Größen bereitgestellt werden können. Allenfalls möchten Sie große VM-Größen in Ihren Produktionsabonnements zulassen, aber vielleicht möchten Sie sicherstellen, dass Sie die Kosten in Ihren Entwicklungsabonnements so gering wie möglich halten. Indem Sie die großen VM-Größen durch Richtlinien in Ihren Entwicklungsabonnements unterbinden, können Sie sicherstellen, dass sie nicht in diesen Umgebungen bereitgestellt werden.

Sie könnten eine Richtlinie auch verwenden, um Namenskonventionen durchzusetzen. Wenn Ihre Organisation bestimmte Namenskonventionen als Standard festgelegt hat, helfen Richtlinien bei der Durchsetzung der Konventionen, damit ein einheitlicher Benennungsstandard in Ihren Azure-Ressourcen sichergestellt werden kann.