Tutorial: Creación y administración de directivas para aplicar el cumplimiento

Comprender cómo se crean y administran las directivas en Azure es importante para mantener el cumplimiento de los estándares corporativos y los contratos de nivel de servicio. En este tutorial, aprenderá a usar Azure Policy para realizar algunas de las tareas más comunes relacionadas con la creación, la asignación y la administración de directivas en toda la organización, como, por ejemplo:

  • Asignar una directiva para aplicar una condición a los recursos que se creen en el futuro
  • Crear y asignar una definición de iniciativa para realizar un seguimiento del cumplimiento para varios recursos
  • Resolución de un recurso que no cumpla o que sea denegado
  • Implementar una nueva directiva en toda la organización

Si desea asignar una directiva para identificar el estado de cumplimiento actual de los recursos existentes, en los artículos de inicio rápido se examina cómo hacerlo.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Asignación de una directiva

El primer paso para aplicar cumplimientos con Azure Policy es asignar una definición de directiva. Una definición de directiva precisa en qué condiciones se aplica una directiva y qué efecto debe tener. En este ejemplo, asigne la definición de directiva integrada llamada Heredar una etiqueta del grupo de recursos si falta para agregar la etiqueta especificada con su valor del grupo de recursos primario a los recursos nuevos o actualizados a los que les falta la etiqueta.

  1. Vaya a Azure Portal para asignar directivas. Busque y seleccione Directiva.

    Captura de pantalla de búsqueda de la directiva en la barra de búsqueda.

  2. Seleccione Asignaciones en el panel izquierdo de la página de Azure Policy. Una asignación es una directiva que se asignó para que se lleve a cabo dentro de un ámbito específico.

    Captura de pantalla de la selección del nodo de asignaciones en la página Información general de la directiva.

  3. Seleccione Asignar directiva en la parte superior de la página Policy - Asignaciones.

    Captura de pantalla de la selección del botón

  4. En la página Asignar directiva y en la pestaña Aspectos básicos, seleccione los puntos suspensivos y seleccione una suscripción o un grupo de administración como Ámbito. Opcionalmente, seleccione un grupo de recursos. Un ámbito determina en qué recursos o agrupación de recursos se implementa la asignación de directiva. Luego elija Seleccionar en la parte inferior de la página Ámbito.

    En este ejemplo se usa la suscripción de Contoso. Su suscripción variará.

  5. Los recursos se pueden excluir según el ámbito. Las exclusiones comienzan en un nivel inferior al nivel del ámbito. Las exclusiones son opcionales, así que déjelas en blanco por ahora.

  6. Seleccione los puntos suspensivos de Definición de directiva para abrir la lista de definiciones disponibles. Puede filtrar el campo Tipo de la definición de directiva por Integrada para verlas todas y leer sus descripciones.

  7. Seleccione Heredar una etiqueta del grupo de recursos si falta. Si no la encuentra inmediatamente, escriba heredar una etiqueta en el cuadro de búsqueda y, después, presione ENTRAR o haga clic fuera del cuadro de búsqueda. Elija Seleccionar en la parte inferior de la página Definiciones disponibles después de encontrar y seleccionar la definición de directiva.

    Captura de pantalla del filtro de búsqueda al seleccionar una definición de directiva.

  8. Nombre de asignación se rellena automáticamente con el nombre de directiva seleccionado, pero puede cambiarlo. En este ejemplo, deje Heredar una etiqueta del grupo de recursos si falta. También puede agregar una Descripción opcional. La descripción ofrece detalles sobre esta asignación de directiva.

  9. Deje Cumplimiento de directivas como Habilitado. Cuando esta Deshabilitado, esta configuración permite probar el resultado de la directiva sin desencadenar el efecto. Para más información, consulte Modo de cumplimiento.

  10. Asignado por: se rellena automáticamente en función de quién ha iniciado sesión. Este campo es opcional, así que se pueden especificar valores personalizados.

  11. Seleccione la pestaña Parámetros en la parte superior del asistente.

  12. En Nombre de etiqueta, escriba Entorno.

  13. Seleccione la pestaña Corrección en la parte superior del asistente.

  14. Deje sin marcar Crear una tarea de corrección. Este cuadro permite crear una tarea para modificar los recursos existentes, además de los recursos nuevos o actualizados. Para más información, consulte Corrección de recursos.

  15. La casilla Crear una identidad administrada se activa automáticamente, ya que esta definición de directiva usa el efecto modify. Permisos se establece automáticamente en Colaborador según la definición de directiva. Para obtener más información, consulte las identidades administradas y cómo funciona la seguridad de corrección.

  16. Seleccione la pestaña Non-compliance messages (Mensajes de no cumplimiento) en la parte superior del asistente.

  17. Establezca Non-compliance message (Mensaje de no cumplimiento) enThis resource doesn't have the required tag (Este recurso no tiene la etiqueta necesaria). Este mensaje personalizado se muestra cuando se deniega un recurso o cuando hay recursos no compatibles durante la evaluación periódica.

  18. Seleccione la pestaña Revisar y crear en la parte superior del asistente.

  19. Revise las selecciones y, luego, seleccione Crear en la parte inferior de la página.

Implementación de una nueva directiva personalizada

Ahora que ha asignado una definición de directiva integrada, puede hacer más cosas con Azure Policy. A continuación, creará una directiva personalizada para ahorrar costos y se asegurará de que las máquinas virtuales creadas en el entorno no puedan estar en la serie G. De este modo, cada vez que un usuario de su organización intente crear una máquina virtual de la serie G, la solicitud le será denegada.

  1. Seleccione Definiciones en Creación en el lado izquierdo de la página de Azure Policy.

    Captura de pantalla de la página Definiciones en el grupo de creación.

  2. Seleccione + Definición de directiva en la parte superior de la página. Este botón abre la página Definición de directiva.

  3. Escriba la siguiente información:

    • El grupo de administración o la suscripción donde está guardada la definición de directiva. Para la selección use los puntos suspensivos en Ubicación de definición.

      Nota

      Si planea aplicar esta definición de directiva a varias suscripciones, la ubicación debe ser un grupo de administración que contenga las suscripciones a las que se asigne la directiva. Lo mismo puede aplicarse a una definición de iniciativa.

    • El nombre de la definición de directiva: Require VM SKUs not in the G series (Requerir SKU de máquina virtual que no sean de la serie G)

    • La descripción de la finalidad de la definición de directiva: esta definición de directiva exige que todas las máquinas virtuales creadas en este ámbito tengan SKU que no sean de la serie G para reducir el costo.

    • Elija entre las opciones existentes o cree una nueva categoría (como Proceso) para esta definición de directiva.

    • Copie el siguiente código JSON y actualícelo según sus necesidades con:

      • Los parámetros de directiva.
      • Las reglas/condiciones de la directiva, en este caso: tamaño de SKU de máquina virtual igual a la serie G
      • El efecto de la directiva, en este caso: Deny (Denegar).

    Este es el aspecto que debería tener el JSON. Pegue el código revisado en Azure Portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    La propiedad field de la regla de directiva debe ser un valor admitido. Se puede encontrar una lista completa de valores en los campos de estructura de definición de directiva. Un ejemplo de un alias podría ser "Microsoft.Compute/VirtualMachines/Size".

    Para ver más ejemplos de Azure Policy, consulte Ejemplos de Azure Policy.

  4. Seleccione Guardar.

Creación de una definición de directiva con la API de REST

Puede crear una directiva con la API REST para definiciones de Azure Policy. La API de REST permite crear y eliminar definiciones de directiva, así como recuperar información sobre las definiciones existentes. Para crear una definición de directiva, use el siguiente ejemplo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Incluya un cuerpo de solicitud similar al ejemplo siguiente:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Creación de una definición de directiva con PowerShell

Antes de continuar con el ejemplo de PowerShell, asegúrese de que tiene instalada la última versión del módulo Az de Azure PowerShell.

Puede crear una definición de directiva con el cmdlet New-AzPolicyDefinition.

Para crear una definición de directiva desde un archivo, pase la ruta de acceso al archivo. Para un archivo externo, use el ejemplo siguiente:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Para un archivo local, use el ejemplo siguiente:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Para crear una definición de directiva con una regla insertada, use el ejemplo siguiente:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

La salida se almacena en un objeto $definition, que se usa durante la asignación de directivas. En el ejemplo siguiente se crea una definición de directiva que incluye parámetros:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Visualización de definiciones de directiva con PowerShell

Para ver todas las definiciones de directiva en su suscripción, utilice el siguiente comando:

Get-AzPolicyDefinition

Devuelve todas las definiciones de directiva disponibles, incluidas las directivas integradas. Cada directiva se devuelve con el formato siguiente:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Creación de una definición de directiva con la CLI de Azure

Puede crear una definición de directiva mediante la CLI de Azure con el comando az policy definition. Para crear una definición de directiva con una regla insertada, use el ejemplo siguiente:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Visualización de definiciones de directiva con la CLI de Azure

Para ver todas las definiciones de directiva en su suscripción, utilice el siguiente comando:

az policy definition list

Devuelve todas las definiciones de directiva disponibles, incluidas las directivas integradas. Cada directiva se devuelve con el formato siguiente:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Creación y asignación de una definición de iniciativa

Con una definición de iniciativa, puede agrupar varias definiciones de directiva para lograr un objetivo general. Una iniciativa evalúa los recursos dentro del ámbito de la asignación de cara al cumplimiento de las directivas incluidas. Para más información sobre las definiciones de iniciativa, consulte Introducción a Azure Policy.

Creación de una definición de iniciativa

  1. Seleccione Definiciones en Creación en el lado izquierdo de la página de Azure Policy.

    Captura de pantalla de la página Definiciones en el grupo de creación.

  2. Seleccione + Definición de iniciativa en la parte superior de la página para abrir el asistente Definición de iniciativa.

    Captura de pantalla de la página de definición de iniciativa y las propiedades que se van a establecer.

  3. Use el botón de puntos suspensivos de Ubicación de la iniciativa para seleccionar un grupo de administración o una suscripción donde almacenar la definición. Si ha establecido el ámbito de la página anterior a un único grupo de administración o suscripción, el campo Ubicación de la definición se rellena automáticamente.

  4. Defina los campos Nombre y Descripción de la iniciativa.

    En este ejemplo se garantiza que los recursos guardan conformidad con las definiciones de directiva sobre protección. Denomine a la iniciativa Get Secure (Estar protegido) y la descripción sería: This initiative has been created to handle all policy definitions associated with securing resources (Esta iniciativa se ha creado para administrar todas las definiciones de directiva asociadas con la protección de los recursos).

  5. En Categoría, elija entre las opciones existentes o cree una nueva categoría.

  6. Establezca un valor en Versión para la iniciativa, como 1.0.

    Nota

    El valor de la versión es estrictamente metadatos y no se usa para las actualizaciones ni para ningún proceso del servicio Azure Policy.

  7. Seleccione Siguiente en la parte inferior de la página o la pestaña Directivas en la parte superior del asistente.

  8. Seleccione el botón Agregar definiciones de directiva y busque en la lista. Seleccione las definiciones de directiva que desea agregar a esta iniciativa. Para obtener la iniciativa Get Secure (Estar protegido), agregue las siguientes definiciones de directiva integradas activando la casilla situada junto a la definición de directiva:

    • Ubicaciones permitidas
    • - Endpoint Protection debe instalarse en máquinas.
    • Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red.
    • Azure Backup debe estar habilitado para Virtual Machines.
    • El cifrado de discos debe aplicarse en máquinas virtuales
    • Agregar o reemplazar una etiqueta en los recursos (agregue esta definición de directiva dos veces)

    Después de seleccionar cada definición de directiva de la lista, seleccione Agregar en la parte inferior de la lista. Dado que la definición de directiva Agregar o reemplazar una etiqueta en los recursos se agrega dos veces, cada una de ellas recibe un valor de Id. de la referencia diferente.

    Captura de pantalla de las definiciones de directivas seleccionadas con su identificador de referencia y grupo en la página de definición de iniciativa.

    Nota

    Para agregar las definiciones de directiva seleccionadas a los grupos, seleccione una o varias definiciones agregadas y elija Agregar directivas seleccionadas a un grupo. El grupo debe existir ya y se puede crear en la pestaña Grupos del asistente.

  9. Seleccione Siguiente en la parte inferior de la página o la pestaña Grupos en la parte superior del asistente. Se pueden agregar nuevos grupos desde esta pestaña. En este tutorial, no se va a agregar ningún grupo.

  10. Seleccione Siguiente en la parte inferior de la página o la pestaña Parámetros de iniciativa en la parte superior del asistente. Si queremos que exista un parámetro en la iniciativa para pasarlo a una o varias definiciones de directivas incluidas, se define aquí y después se usa en la pestaña Parámetros de la directiva. En este tutorial, no vamos a agregar ningún parámetro a la iniciativa.

    Nota

    Una vez guardados los parámetros en la iniciativa, ya no se pueden eliminar. Si ya no necesita un parámetro de la iniciativa, utilice un parámetro de la definición de directiva para quitarlo del uso.

  11. Seleccione Siguiente en la parte inferior de la página o la pestaña parámetros de la directiva en la parte superior del asistente.

  12. Las definiciones de directiva agregadas a la iniciativa que tiene parámetros se muestran en una cuadrícula. En Tipo de valor puede aparecer "Valor predeterminado", "Establecer valor" o "Utilice el parámetro de iniciativa". Si se selecciona "Establecer valor", el valor relacionado se especifica en Valores. Si el parámetro de la definición de directiva tiene una lista de valores permitidos, el cuadro de entrada es un selector de lista desplegable. Si se selecciona la opción "Utilice el parámetro de iniciativa", se proporciona una selección de lista desplegable con los nombres de los parámetros de iniciativa creados en la pestaña Parámetros de iniciativa.

    Captura de pantalla con los valores permitidos para el parámetro Ubicaciones permitidas de la definición en la pestaña Parámetros de la directiva de la página Definición de iniciativa.

    Nota

    En el caso de algunos parámetros strongType, la lista de valores no se puede determinar automáticamente. En estos casos, se muestran puntos suspensivos a la derecha de la fila de parámetros. Al seleccionarlos se abre la página "Ámbito de parámetro (<nombre del parámetro>)". En esta página, seleccione la suscripción que se usará para proporcionar las opciones de valor. Este ámbito de parámetro solo se usa durante la creación de la definición de iniciativa y no influye en la evaluación de directivas ni en el ámbito de la iniciativa cuando se asigna.

    Establezca el campo Tipo de valor de "Ubicaciones permitidas" en "Establecer valor" y seleccione "Este de EE. UU. 2" en la lista desplegable. En el caso de las dos instancias de la definición de directiva Agregar o reemplazar una etiqueta en los recursos, establezca el parámetro Nombre de etiqueta en "Env" y "CostCenter" y el parámetro Valor de etiqueta en "Test" y "Lab", respectivamente, como se muestra a continuación. Deje los demás parámetros como "Valor predeterminado". Al usar la misma definición dos veces en la iniciativa, pero con distintos parámetros, esta configuración agrega o reemplaza una etiqueta "Env" con el valor "Test" y una etiqueta "CostCenter" con el valor "Lab" en los recursos del ámbito de la asignación.

    Captura de pantalla de las opciones especificadas para los valores permitidos en el parámetro Ubicaciones permitidas de la definición y los valores de ambos conjuntos de parámetros de etiqueta en la pestaña Parámetros de la directiva de la página Definición de iniciativa.

  13. Seleccione Revisar y crear en la parte inferior de la página o en la parte superior del asistente.

  14. Revise la configuración y seleccione Crear.

Creación de una definición de iniciativa de directiva con la CLI de Azure

Puede crear una definición de iniciativa de directiva mediante la CLI de Azure con el comando az policy set-definition. Para crear una definición de iniciativa de directiva con una definición de directiva existente, use el ejemplo siguiente:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Creación de una definición de iniciativa de directiva con Azure PowerShell

Puede crear una definición de iniciativa de directiva mediante Azure PowerShell con el cmdlet New-AzPolicySetDefinition. Para crear una definición de iniciativa de directiva con una definición de directiva existente, use el siguiente archivo de definición de iniciativa de directiva como VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Asignación de una definición de iniciativa

  1. Seleccione Definiciones en Creación en el lado izquierdo de la página de Azure Policy.

  2. Busque la definición de directiva Get Secure (Estar protegido) que creó anteriormente y selecciónela. Seleccione Asignar en la parte superior de la página para abrir la página Get Secure: Assign initiative (Estar protegido: asignar iniciativa).

    Captura de pantalla del botón

    También puede seleccionar y mantener pulsada (o hacer clic con el botón derecho) la fila seleccionada o seleccionar los puntos suspensivos al final de la fila de un menú contextual. A continuación, seleccione Asignar.

    Captura de pantalla del menú contextual de una iniciativa para seleccionar la funcionalidad de asignación.

  3. Rellene la página Get Secure: Assign Initiative (Estar protegido: asignar iniciativa) con la siguiente información de ejemplo. Puede usar su propia información.

    • Ámbito: el grupo de administración o la suscripción donde guardó la iniciativa se convertirán en predeterminados. También puede cambiar ámbito para asignar la iniciativa a un grupo de recursos o una suscripción de la ubicación de almacenamiento.
    • Exclusiones: configure los recursos del ámbito para evitar que se les aplique la asignación de iniciativa.
    • Nombre de la asignación y definición de la iniciativa: Get Secure (Estar protegido) (rellenado previamente como nombre de la iniciativa que se va a asignar).
    • Descripción: esta asignación de iniciativa está adaptada para aplicar este grupo de definiciones de directiva.
    • Aplicación de directivas: Deje el valor predeterminado Habilitado.
    • Asignada por: se rellena automáticamente en función de quién ha iniciado sesión. Este campo es opcional, así que se pueden especificar valores personalizados.
  4. Seleccione la pestaña Parámetros en la parte superior del asistente. Si configuró un parámetro de iniciativa en pasos anteriores, establezca un valor aquí.

  5. Seleccione la pestaña Corrección en la parte superior del asistente. Deje desactivada la casilla Crear una identidad administrada. Esta casilla se debe activar cuando la directiva o la iniciativa que se asigna incluye una directiva con los efectos deployIfNotExists o modify. Como no es el caso de la directiva usada en este tutorial, déjela en blanco. Para obtener más información, consulte las identidades administradas y cómo funciona la seguridad de corrección.

  6. Seleccione la pestaña Revisar y crear en la parte superior del asistente.

  7. Revise las selecciones y, luego, seleccione Crear en la parte inferior de la página.

Comprobación del cumplimiento inicial

  1. Seleccione Cumplimiento en el panel izquierdo de la página de Azure Policy.

  2. Busque la iniciativa Get Secure (Estar protegido). Es probable que Estado de compatibilidad se encuentre aún como No iniciado. Seleccione la iniciativa para obtener información detallada sobre la asignación.

    Captura de pantalla de la página de cumplimiento de la iniciativa que muestra las evaluaciones de asignación en un estado no iniciado.

  3. Una vez que se haya completado la asignación de la iniciativa, la página de conformidad se actualiza con el Estado de compatibilidadConforme.

    Captura de pantalla de la página de cumplimiento de la iniciativa que muestra las evaluaciones de asignación en un estado conforme.

  4. Al seleccionar cualquier directiva de la página de cumplimiento de la iniciativa se abre la página de detalles de cumplimiento de esa directiva. Esta página proporciona los detalles de cumplimiento a nivel de recurso.

Quitar un recurso no conforme o denegado del ámbito con una exclusión

Después de asignar una iniciativa de directiva para exigir una ubicación específica, cualquier otro recurso creado en una ubicación diferente se deniega. En esta sección se va a examinar cómo resolver una solicitud denegada para crear un recurso mediante la creación de una exclusión de un único grupo de recursos. La exclusión impide el cumplimiento de la directiva (o iniciativa) en ese grupo de recursos. En el ejemplo siguiente, se permite cualquier ubicación en el grupo de recursos excluido. Una exclusión se puede aplicar a una suscripción, a un grupo de recursos o a un recurso individual.

Nota

También se puede usar una exención de la directiva para omitir la evaluación de un recurso. Para más información, consulte Ámbito de Azure Policy.

Las implementaciones que ha impedido una directiva o iniciativa asignada se pueden ver en el grupo de recursos de destino de la implementación: seleccione Implementaciones en el lado izquierdo de la página y luego seleccione el valor de Nombre de la implementación de la implementación con errores. El recurso denegado se muestra con el estado Prohibido. Para determinar la directiva o iniciativa y la asignación que denegaron el recurso, seleccione Ha habido un error. Haga clic para ver los detalles -> en la página de información general de la implementación. Una ventana se abre en el lado derecho de la página con la información sobre el error. En Detalles del error se muestran los identificadores únicos globales de los objetos de directiva relacionados.

Captura de pantalla de una implementación con errores denegada por una asignación de directiva.

En la página de Azure Policy: Seleccione Cumplimiento en el lado izquierdo de la página y seleccione la iniciativa Get Secure (Estar protegido). En esta página, hay un aumento en el recuento de denegaciones para los recursos bloqueados. En la pestaña Eventos se muestran detalles sobre quién intentó crear o implementar el recurso que se denegó en la definición de directiva.

Captura de pantalla de la pestaña Eventos y detalles del evento de directiva en la página cumplimiento de la iniciativa.

En este ejemplo, Trent Baker, uno de los especialistas en virtualización sénior de Contoso, estaba haciendo el trabajo requerido. Es necesario conceder a Trent un espacio para una excepción. Cree el grupo de recursos LocationsExcluded y, luego, concédale una excepción a esta asignación de directiva.

Actualización de la asignación con la exclusión

  1. Seleccione Asignaciones en Creación en el lado izquierdo de la página de Azure Policy.

  2. Examine todas las asignaciones de directiva y abra la que se llama Get Secure (Estar protegido).

  3. Para establecer el valor de Exclusión, seleccione los puntos suspensivos y seleccione el grupo de recursos que quiere excluir; en este ejemplo, LocationsExcluded. Seleccione Agregar al ámbito seleccionado y, luego, seleccione Guardar.

    Captura de pantalla de la opción Exclusiones de la página de asignación de la iniciativa para agregar un grupo de recursos excluidos a la asignación de directiva.

    Nota

    Dependiendo de la definición de directiva y de su efecto, es posible que la exclusión también se conceda a recursos específicos dentro de un grupo de recursos en el ámbito de la asignación. Dado que se usó un efecto deny en este tutorial, no tendría sentido establecer la exclusión en un recurso concreto que ya existe.

  4. Seleccione Revisar y guardar y, luego, elija Guardar.

En esta sección, resolvió la solicitud denegada creando una exclusión en un único grupo de recursos.

Limpieza de recursos

Si terminó de trabajar con los recursos de este tutorial, use los pasos siguientes para eliminar todas las asignaciones o definiciones de directiva creadas anteriormente:

  1. Seleccione Definiciones (o Asignaciones si trata de eliminar una asignación) en Creación en el lado izquierdo de la página de Azure Policy.

  2. Busque la nueva definición de iniciativa o directiva (o asignación) que quiere quitar.

  3. Haga clic con el botón derecho en la fila o seleccione los puntos suspensivos al final de la definición (o asignación) y elija Eliminar definición (o Eliminar asignación ).

Revisar

En este tutorial, ha realizado correctamente las tareas siguientes:

  • Ha asignado una directiva para aplicar una condición a los recursos que se creen en el futuro
  • Ha creado y asignado una definición de iniciativa para realizar un seguimiento del cumplimiento para varios recursos
  • Ha resuelto un recurso que no cumplía o que se había denegado
  • Ha implementado una nueva directiva en toda la organización

Pasos siguientes

Para más información sobre las estructuras de las definiciones de directiva, consulte este artículo: