Creación de una asignación de directiva para identificar recursos no compatibles.

  • Artículo
  • 5 minutos para leer

El primer paso para entender el cumplimiento en Azure es identificar el estado de sus recursos. Esta guía de inicio rápido lo guiará por el proceso de creación de una asignación de directiva para identificar las máquinas virtuales que no están usando discos administrados.

Al finalizar este proceso, habrá identificado correctamente máquinas virtuales que no utilizan discos administrados. No son compatibles con la asignación de directiva.

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de una asignación de directiva

En esta guía de inicio rápido, creará una asignación de directiva y asignará la definición de directiva Auditoría de máquinas virtuales que no usan discos administrados.

  1. Inicie el servicio Azure Policy en Azure Portal. Para ello, seleccione Todos los servicios y, a continuación, busque y seleccione Directiva.

    Captura de pantalla de búsqueda de la directiva en Todos los servicios.

  2. Seleccione Asignaciones en el panel izquierdo de la página de Azure Policy. Una asignación es una directiva que se asignó para que se lleve a cabo dentro de un ámbito específico.

    Captura de pantalla de la selección de la página Asignaciones en la página Información general de la directiva.

  3. Seleccione Asignar directiva en la parte superior de la página Policy - Asignaciones.

    Captura de pantalla de la selección de la opción "Asignar directiva" en la página Asignaciones.

  4. En la página Asignar directiva, seleccione los puntos suspensivos para establecer la opción Ámbito y seleccione una suscripción o un grupo de administración. Opcionalmente, seleccione un grupo de recursos. Un ámbito determina en qué recursos o agrupación de recursos se implementa la asignación de directiva. Luego, use el botón Seleccionar situado en la parte inferior de la página Ámbito.

    En este ejemplo se usa la suscripción de Contoso. Su suscripción variará.

  5. Los recursos se pueden excluir según el ámbito. Las exclusiones comienzan en un nivel inferior al nivel del ámbito. Las exclusiones son opcionales, así que déjelas en blanco por ahora.

  6. Seleccione los puntos suspensivos de Definición de directiva para abrir la lista de definiciones disponibles. Azure Policy viene con definiciones de directivas integradas que puede usar. Muchas están disponibles, como:

    • Enforce tag and its value (Forzar una etiqueta y su valor)
    • Apply tag and its value (Aplicar una etiqueta y su valor)
    • Heredar una etiqueta del grupo de recursos si falta

    Para una lista parcial de las directivas integradas disponibles, consulte los ejemplos de Azure Policy.

  7. En la lista de definiciones de directiva, busque la definición Auditoría de máquinas virtuales que no usan discos administrados. Seleccione esa directiva y haga clic en el botón Seleccionar.

    Captura de pantalla del filtrado de las definiciones disponibles.

  8. Nombre de asignación se rellena automáticamente con el nombre de directiva seleccionado, pero puede cambiarlo. En este ejemplo, se deja Auditoría de máquinas virtuales que no usan discos administrados. También puede agregar una Descripción opcional. La descripción ofrece detalles sobre esta asignación de directiva. Asignado por se rellena automáticamente en función de quién ha iniciado sesión. Este campo es opcional, así que se pueden especificar valores personalizados.

  9. Mantenga habilitado el cumplimiento de directivas. Para más información, consulte Asignación de directivas: modo de cumplimiento.

  10. Seleccione Siguiente en la parte inferior de la página o la pestaña Parámetros en la parte superior de la página para avanzar a la siguiente sección del Asistente para asignación.

  11. Si la definición de directiva seleccionada en la pestaña Aspectos básicos incluía parámetros, se configuran en esta pestaña. Como Auditar las máquinas virtuales que no utilizan discos administrados no incluye parámetros, seleccione Siguiente, en la parte inferior de la página, o la pestaña Corrección, en la parte superior de la página, para avanzar a la siguiente sección del Asistente para asignación.

  12. Deje desactivada la casilla Crear una identidad administrada. Esta casilla se debe activar cuando la directiva o la iniciativa incluyan una directiva con el efecto deployIfNotExists o modify. Como no es el caso de la directiva usada en este guía de inicio rápido, déjela en blanco. Para más información, consulte las identidades administradas y cómo funciona la seguridad de corrección.

  13. Seleccione Siguiente, en la parte inferior de la página, o la pestaña de mensajes de no cumplimiento, en la parte superior de la página, para avanzar a la siguiente sección del Asistente para asignación.

  14. Establezca el mensaje de no cumplimiento en Virtual machines should use a managed disk (Las máquinas virtuales deben usar un disco administrado). Este mensaje personalizado se muestra cuando se deniega un recurso o cuando hay recursos no compatibles durante la evaluación periódica.

  15. Seleccione Siguiente, en la parte inferior de la página, o la pestaña Revisar y crear, en la parte superior de la página, para avanzar a la siguiente sección del Asistente para asignación.

  16. Revise las opciones seleccionadas y, a continuación, seleccione Crear en la parte inferior de la página.

Ahora ya está listo para identificar los recursos no compatibles a fin de conocer el estado de cumplimiento de su entorno.

Identificación de recursos sin compatibilidad

Seleccione Cumplimiento en el panel izquierdo de la página. A continuación, busque la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados que ha creado.

Captura de pantalla de los detalles de cumplimiento en la página Cumplimiento de directivas.

Si hay algún recurso existente no compatible con esta nueva asignación, aparecerá en la pestaña Recursos no compatibles.

Si una condición se evalúa en todos los recursos existentes y el valor obtenido es true, estos recursos se marcarán como no compatibles con la directiva. En la tabla siguiente se muestra cómo funcionan los distintos efectos de directiva con la evaluación de condición para el estado de cumplimiento resultante. Aunque no se ve la lógica de evaluación en Azure Portal, se muestran los resultados del estado de cumplimiento. El resultado del estado de cumplimiento puede ser compatible o no compatible.

Estado del recurso Efecto Evaluación de directiva Estado de cumplimiento
Nueva o actualizada Audit, Modify, AuditIfNotExist True No compatible
Nueva o actualizada Audit, Modify, AuditIfNotExist False Compatible
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True No compatible
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist False Compatible

Nota

Los efectos de DeployIfNotExist y AuditIfNotExist requieren que la instrucción IF sea TRUE y que la condición de existencia sea FALSE para que no sea compatible. Si es TRUE, la condición IF desencadena la evaluación de la condición de existencia de los recursos relacionados.

Limpieza de recursos

Para quitar la asignación creada, siga estos pasos:

  1. Seleccione Cumplimiento (o Asignaciones) en el lado izquierdo de página Azure Policy y busque la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados asignación de directiva que ha creado.

  2. Haga clic con el botón derecho en la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados y seleccione Eliminar asignación.

    Captura de pantalla del uso del menú contextual para eliminar una asignación desde la página Cumplimiento.

Pasos siguientes

En esta guía de inicio rápido, se asigna una definición de directiva a un ámbito y se evalúa su informe de cumplimiento. La definición de la directiva confirma que todos los recursos del ámbito son compatibles y se identifican cuáles no lo son.

Para más información sobre la asignación de directivas para garantizar la compatibilidad de los nuevos recursos, continúe con el tutorial para:

Crear y administrar directivas