Creación de una asignación de directiva para identificar recursos no compatibles mediante una plantilla de Resource Manager

El primer paso para entender el cumplimiento en Azure es identificar el estado de sus recursos. Este inicio rápido le guía por el proceso de usar una plantilla de Azure Resource Manager para crear una asignación de directiva con el objeto de identificar las máquinas virtuales que no usan discos administrados. Al finalizar este proceso, habrá identificado correctamente máquinas virtuales que no utilizan discos administrados. No son compatibles con la asignación de directiva.

Una plantilla de Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define la infraestructura y la configuración del proyecto. La plantilla usa sintaxis declarativa. En la sintaxis declarativa, se describe la implementación deseada sin escribir la secuencia de comandos de programación para crearla.

Si su entorno cumple los requisitos previos y está familiarizado con el uso de plantillas de Resource Manager, seleccione el botón Implementar en Azure. La plantilla se abrirá en Azure Portal.

Botón para implementar la plantilla de ARM para asignar una instancia de Azure Policy a Azure.

Prerrequisitos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Revisión de la plantilla

En este inicio rápido, creará una asignación de directiva y asignará una definición de directiva integrada denominada Auditoría de máquinas virtuales que no usan discos administrados. Para una lista parcial de las directivas integradas disponibles, consulte los ejemplos de Azure Policy.

La plantilla usada en este inicio rápido forma parte de las plantillas de inicio rápido de Azure.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "defaultValue": "[guid(parameters('policyDefinitionID'), resourceGroup().name)]",
      "metadata": {
        "description": "Specifies the name of the policy assignment, can be used defined or an idempotent name as the defaultValue provides."
      }
    },
    "policyDefinitionID": {
      "type": "string",
      "metadata": {
        "description": "Specifies the ID of the policy definition or policy set definition being assigned."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Authorization/policyAssignments",
      "name": "[parameters('policyAssignmentName')]",
      "apiVersion": "2019-09-01",
      "properties": {
        "scope": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', resourceGroup().name)]",
        "policyDefinitionId": "[parameters('policyDefinitionID')]"
      }
    }
  ]
}

El recurso definido en la plantilla es el siguiente:

Implementación de la plantilla

Nota

El servicio Azure Policy es gratuito. Para más información, consulte la Introducción a Azure Policy.

  1. Seleccione la siguiente imagen para iniciar sesión en Azure Portal y abrir la plantilla:

    Botón para implementar la plantilla de ARM para asignar una instancia de Azure Policy a Azure.

  2. Seleccione o escriba los siguientes valores:

    Nombre Value
    Suscripción Seleccione su suscripción a Azure.
    Resource group Seleccione Crear, especifique un nombre y seleccione Aceptar. En la captura de pantalla, el nombre del grupo de recursos es mypolicyquickstart<Date in MMDD>rg.
    Location Seleccione una región. Por ejemplo, Centro de EE. UU.
    Nombre de la asignación de directiva Especifique un nombre para la asignación de directiva. Si lo desea, puede usar la definición de directiva en pantalla. Por ejemplo, Auditoría de máquinas virtuales que no usan discos administrados.
    Nombre del grupo de recursos Especifique un nombre para el grupo de recursos donde desea asignar la directiva. En este inicio rápido se usa el valor predeterminado [resourceGroup().name]. resourceGroup() es una función de plantilla que recupera el grupo de recursos.
    ID de definición de directiva Especifique /providers/Microsoft.Authorization/policyDefinitions/0a914e76-4921-4c19-b460-a2d36003525a.
    Acepto los términos y condiciones indicados anteriormente (Seleccionar)
  3. Seleccione Comprar.

Algunos otros recursos:

Validación de la implementación

Seleccione Cumplimiento en el panel izquierdo de la página. A continuación, busque la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados que ha creado.

Captura de pantalla de los detalles de cumplimiento en la página Cumplimiento de directivas.

Si hay algún recurso existente no compatible con esta nueva asignación, aparecerá en la pestaña Recursos no compatibles.

Para más información, consulte How compliance works (Funcionamiento del cumplimiento).

Limpieza de recursos

Para quitar la asignación creada, siga estos pasos:

  1. Seleccione Cumplimiento (o Asignaciones) en el lado izquierdo de página Azure Policy y busque la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados asignación de directiva que ha creado.

  2. Haga clic con el botón derecho en la asignación de directiva Auditoría de máquinas virtuales que no usan discos administrados y seleccione Eliminar asignación.

    Captura de pantalla del uso del menú contextual para eliminar una asignación desde la página Cumplimiento.

Pasos siguientes

En este inicio rápido se asigna una definición de directiva integrada a un ámbito y se evalúa su informe de cumplimiento. La definición de la directiva confirma que todos los recursos del ámbito son compatibles y se identifican cuáles no lo son.

Para más información sobre la asignación de directivas para garantizar la compatibilidad de los nuevos recursos, continúe con el tutorial para: