Creación de una asignación de directiva para identificar recursos no compatibles mediante un archivo Bicep

Artículo
09/17/2021
3 minutos para leer

El primer paso para entender el cumplimiento en Azure es identificar el estado de sus recursos. Este inicio rápido le guía por el proceso de usar un archivo Bicep (versión preliminar) creado en una plantilla de Resource Manager para crear una asignación de directivas con el objeto de identificar las máquinas virtuales que no usan discos administrados. Al finalizar este proceso, habrá identificado correctamente máquinas virtuales que no utilizan discos administrados. No son compatibles con la asignación de directiva.

Una plantilla de Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define la infraestructura y la configuración del proyecto. La plantilla usa sintaxis declarativa. En la sintaxis declarativa, se describe la implementación deseada sin escribir la secuencia de comandos de programación para crearla.

Si su entorno cumple los requisitos previos y está familiarizado con el uso de plantillas de Resource Manager, seleccione el botón Implementar en Azure. La plantilla se abre en Azure Portal.

Prerrequisitos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Versión 0.3 de Bicep o posterior instalada. Si aún no tiene la CLI de Bicep o necesita actualizarla, consulte Instalación de Bicep (versión preliminar).

Revisión del archivo de Bicep

En este inicio rápido, creará una asignación de directiva y asignará una definición de directiva integrada denominada Auditoría de máquinas virtuales que no usan discos administrados (06a78e20-9358-41c9-923c-fb736d382a4d). Para una lista parcial de las directivas integradas disponibles, consulte los ejemplos de Azure Policy.

Cree el siguiente archivo Bicep como assignment.bicep:

param policyAssignmentName string = 'audit-vm-manageddisks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'

resource assignment 'Microsoft.Authorization/policyAssignments@2021-09-01' = {
    name: policyAssignmentName
    scope: subscriptionResourceId('Microsoft.Resources/resourceGroups', resourceGroup().name)
    properties: {
        policyDefinitionId: policyDefinitionID
    }
}

output assignmentId string = assignment.id

El recurso definido en el archivo es el siguiente:

Microsoft.Authorization/policyAssignments

Implementación de la plantilla

Nota

El servicio Azure Policy es gratuito. Para más información, consulte la Introducción a Azure Policy.

Después de instalar la CLI de Bicep y crear el archivo, puede implementar el archivo Bicep con:

PowerShell
CLI de Azure

New-AzResourceGroupDeployment `
  -Name PolicyDeployment `
  -ResourceGroupName PolicyGroup `
  -TemplateFile assignment.bicep

az deployment group create \
  --name PolicyDeployment \
  --resource-group PolicyGroup \
  --template-file assignment.bicep

Otros recursos:

Puede encontrar más plantillas de ejemplo en Plantillas de inicio rápido de Azure.
Para ver la referencia de plantilla, vaya a la referencia de plantilla de Azure.
Para aprender a desarrollar plantillas de Resource Manager, consulte la documentación de Azure Resource Manager.
Para información sobre la implementación de nivel de suscripción, consulte Create resource groups and resources at the subscription level (Creación de grupos de recursos y recursos en el nivel de suscripción).

Validación de la implementación

Seleccione Cumplimiento en el panel izquierdo de la página. A continuación, busque la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados que ha creado.

Captura de pantalla de los detalles de cumplimiento en la página Cumplimiento de directivas.

Si hay algún recurso existente no compatible con esta nueva asignación, aparecerá en la pestaña Recursos no compatibles.

Para más información, consulte How compliance works (Funcionamiento del cumplimiento).

Limpieza de recursos

Para quitar la asignación creada, siga estos pasos:

Seleccione Cumplimiento (o Asignaciones) en el lado izquierdo de página Azure Policy y busque la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados asignación de directiva que ha creado.
Haga clic con el botón derecho en la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados y seleccione Eliminar asignación.
Elimine el archivo assignment.bicep.

Pasos siguientes

En este inicio rápido se asigna una definición de directiva integrada a un ámbito y se evalúa su informe de cumplimiento. La definición de la directiva confirma que todos los recursos del ámbito son compatibles y se identifican cuáles no lo son.

Para más información sobre la asignación de directivas para garantizar la compatibilidad de los nuevos recursos, continúe con el tutorial para:

Crear y administrar directivas