Présentation d’Azure PolicyWhat is Azure Policy?

La gouvernance valide le fait que votre organisation peut atteindre ses objectifs via une utilisation efficace de l’informatique.Governance validates that your organization can achieve its goals through effective and efficient use of IT. Elle répond à ce besoin en clarifiant les objectifs métier et les projets informatiques.It meets this need by creating clarity between business goals and IT projects.

Votre société rencontre un nombre important de problèmes informatiques qui ne semblent jamais résolus ?Does your company experience a significant number of IT issues that never seem to get resolved? Une bonne gouvernance informatique implique la planification de vos initiatives et la définition de priorités à un niveau stratégique. De cette manière, vous pouvez gérer et éviter les problèmes de manière plus efficace.Good IT governance involves planning your initiatives and setting priorities on a strategic level to help manage and prevent issues. C’est pour répondre à ce besoin stratégique qu’Azure Policy entre en jeu,This strategic need is where Azure Policy comes in.

Azure Policy est un service d’Azure que vous utilisez pour créer, affecter et gérer des stratégies.Azure Policy is a service in Azure that you use to create, assign, and manage policies. Ces stratégies appliquent différentes règles et effets sur vos ressources, qui restent donc conformes aux normes et aux contrats de niveau de service de l’entreprise.These policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service level agreements. en évaluant vos ressources pour vérifier leur conformité par rapport aux stratégies affectées.Azure Policy meets this need by evaluating your resources for non-compliance with assigned policies. Toutes les données stockées par Azure Policy sont chiffrées au repos.All data stored by Azure Policy is encrypted at rest.

Par exemple, vous pouvez disposer d’une stratégie qui n’autorise qu’une certaine taille de référence SKU de machines virtuelles dans votre environnement.For example, you can have a policy to allow only a certain SKU size of virtual machines in your environment. Une fois que cette stratégie est implémentée, les ressources nouvelles et existantes sont évaluées en termes de conformité.Once this policy is implemented, new and existing resources are evaluated for compliance. Avec le bon type de stratégie, les ressources existantes peuvent être mises en conformité.With the right type of policy, existing resources can be brought into compliance. Plus tard dans ce document, nous allons parler plus en détail de la manière de créer et d’implémenter des stratégies avec Azure Policy.Later in this documentation, we'll go over more details on how to create and implement policies with Azure Policy.

Important

L’évaluation de la conformité Azure Policy est désormais fournie pour toutes les affectations, quel que soit le niveau de tarification.Azure Policy's compliance evaluation is now provided for all assignments regardless of pricing tier. Si vos affectations n’affichent pas les données de conformité, vérifiez que l’abonnement est inscrit auprès du fournisseur de ressources Microsoft.PolicyInsights.If your assignments do not show the compliance data, please ensure that the subscription is registered with the Microsoft.PolicyInsights resource provider.

Notes

Ce service prend en charge la gestion des ressources déléguées Azure, qui permet aux fournisseurs de services de se connecter à leur propre locataire pour gérer les abonnements et les groupes de ressources que les clients ont délégués.This service supports Azure delegated resource management, which lets service providers sign in to their own tenant to manage subscriptions and resource groups that customers have delegated. Pour plus d’informations, voir Azure Lighthouse.For more info, see Azure Lighthouse.

Quelle est la différence avec RBAC ?How is it different from RBAC?

Il existe quelques différences importantes entre Azure Policy et le contrôle d’accès en fonction du rôle (RBAC).There are a few key differences between Azure Policy and role-based access control (RBAC). Le contrôle RBAC porte sur les actions des utilisateurs dans différentes étendues.RBAC focuses on user actions at different scopes. Vous pouvez être ajouté au rôle de contributeur pour un groupe de ressources, ce qui vous permet d’apporter des modifications à ce groupe de ressources.You might be added to the contributor role for a resource group, allowing you to make changes to that resource group. Azure Policy se focalise sur les propriétés des ressources pendant le déploiement et sur les ressources existantes.Azure Policy focuses on resource properties during deployment and for already existing resources. Azure Policy contrôle les propriétés telles que les types ou emplacements des ressources.Azure Policy controls properties such as the types or locations of resources. Contrairement à RBAC, Azure Policy est un système explicite d’autorisation et de refus par défaut.Unlike RBAC, Azure Policy is a default allow and explicit deny system.

Autorisations RBAC dans Azure PolicyRBAC Permissions in Azure Policy

Azure Policy dispose d’autorisations, aussi appelées opérations, dans deux fournisseurs de ressources :Azure Policy has several permissions, known as operations, in two Resource Providers:

Plusieurs rôles intégrés accordent des autorisations aux ressources Azure Policy.Many Built-in roles grant permission to Azure Policy resources. Le rôle Contributeur de stratégie de ressource inclut la plupart des opérations d’Azure Policy.The Resource Policy Contributor role includes most Azure Policy operations. Quant au rôle Propriétaire, il dispose de tous les droits.Owner has full rights. Les rôles Contributeur et Lecteur peuvent utiliser toutes les opérations en lecture d’Azure Policy, mais le rôle Contributeur peut aussi les corriger.Both Contributor and Reader can use all read Azure Policy operations, but Contributor can also trigger remediation.

Si aucun des rôles intégrés ne dispose d’autorisations, créez un rôle personnalisé.If none of the Built-in roles have the permissions required, create a custom role.

Définition de stratégiePolicy definition

Pour créer et implémenter une stratégie dans Azure Policy, il faut commencer par créer une définition de stratégie.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. Chaque définition de stratégie présente des conditions dans lesquelles elle est appliquée.Every policy definition has conditions under which it's enforced. Si les conditions sont remplies, un effet défini se produit.And, it has a defined effect that takes place if the conditions are met.

Dans Azure Policy, nous proposons plusieurs stratégies intégrées qui sont disponibles par défaut.In Azure Policy, we offer several built-in policies that are available by default. Par exemple :For example:

  • Références SKU de compte de stockage autorisées : Détermine si un compte de stockage en cours de déploiement se trouve dans un ensemble de tailles de référence SKU.Allowed Storage Account SKUs: Determines if a storage account being deployed is within a set of SKU sizes. Son effet consiste à refuser tous les comptes de stockage dont la taille ne fait pas partie de l’ensemble de tailles de référence SKU définies.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • Type de ressource autorisé : Définit les types de ressources que vous pouvez déployer.Allowed Resource Type: Defines the resource types that you can deploy. Son effet consiste à refuser toutes les ressources qui ne font pas partie de cette liste définie.Its effect is to deny all resources that aren't part of this defined list.
  • Emplacements autorisés : Restreint les emplacements disponibles pour les nouvelles ressources.Allowed Locations: Restricts the available locations for new resources. Son effet permet d’appliquer vos exigences de conformité géographique.Its effect is used to enforce your geo-compliance requirements.
  • Références SKU de machine virtuelle autorisées : Spécifie un ensemble de références SKU de machine virtuelle que vous pouvez déployer.Allowed Virtual Machine SKUs: Specifies a set of virtual machine SKUs that you can deploy.
  • Ajouter une étiquette aux ressources : Applique une balise requise et sa valeur par défaut si elle n’est pas spécifiée par la requête de déploiement.Add a tag to resources: Applies a required tag and its default value if it's not specified by the deploy request.
  • Appliquer la balise et sa valeur : Applique une balise requise et sa valeur à une ressource.Enforce tag and its value: Enforces a required tag and its value to a resource.
  • Types de ressources non autorisés : Empêche une liste de types de ressources d’être déployés.Not allowed resource types: Prevents a list of resource types from being deployed.

Pour implémenter ces définitions de stratégie (définitions intégrées et personnalisées), vous devez les affecter.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Vous pouvez affecter l’une de ces stratégies par le biais du portail Azure, de PowerShell ou d’Azure CLI.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

Une évaluation de la stratégie a lieu avec plusieurs actions différentes comme l’affectation de stratégie ou les mises à jour de stratégie.Policy evaluation happens with several different actions, such as policy assignment or policy updates. Pour obtenir la liste complète, consultez Policy evaluation triggers (Déclencheurs d’évaluation de stratégie).For a complete list, see Policy evaluation triggers.

Pour plus d’informations sur les structures des définitions de stratégie, consultez Structure des définitions de stratégie.To learn more about the structures of policy definitions, review Policy Definition Structure.

Affectation de rôlePolicy assignment

Une affectation de stratégie est une définition de stratégie qui a été affectée avec une étendue spécifique.A policy assignment is a policy definition that has been assigned to take place within a specific scope. Cette étendue peut aller d’un groupe d’administration à une ressource individuelle.This scope could range from a management group to an individual resource. Le terme étendue désigne l’ensemble des ressources, groupes de ressources, abonnements ou groupes d’administration auxquels la définition de stratégie est affectée.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the policy definition is assigned to. Toutes les ressources enfants héritent des affectations de stratégie.Policy assignments are inherited by all child resources. Grâce à cette structure, si une stratégie est appliquée à un groupe de ressources, elle est également appliquée à toutes les ressources de ce groupe de ressources.This design means that a policy applied to a resource group is also applied to resources in that resource group. Toutefois, vous pouvez exclure une sous-étendue de l’affectation de stratégie.However, you can exclude a subscope from the policy assignment.

Par exemple, dans l’étendue de l’abonnement, vous pouvez affecter une stratégie qui empêche la création de ressources réseau.For example, at the subscription scope, you can assign a policy that prevents the creation of networking resources. Vous pouvez exclure un groupe de ressources au sein de cet abonnement qui est destiné à l’infrastructure réseau.You could exclude a resource group in that subscription that is intended for networking infrastructure. Vous accordez ensuite l’accès à ce groupe de ressources réseau aux utilisateurs auxquels vous faites confiance avec la création des ressources réseau.You then grant access to this networking resource group to users that you trust with creating networking resources.

Dans un autre exemple, vous souhaiterez peut-être affecter une stratégie de liste d’autorisation de type de ressource au niveau du groupe d’administration.In another example, you might want to assign a resource type allow list policy at the management group level. Affectez ensuite une stratégie plus permissive (autorisant plus de types de ressources) à un groupe d’administration enfant ou même directement aux abonnements.And then assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. Toutefois, cet exemple ne fonctionnera pas, car la stratégie est un système de refus explicite.However, this example wouldn't work because policy is an explicit deny system. Au lieu de cela, vous devez exclure le groupe d’administration enfant ou l’abonnement de l’attribution de stratégie au niveau du groupe d’administration.Instead, you need to exclude the child management group or subscription from the management group-level policy assignment. Affectez ensuite la stratégie plus permissive au niveau du groupe d’administration enfant ou de l’abonnement.Then, assign the more permissive policy on the child management group or subscription level. Si une stratégie se traduit par le refus d’une ressource, alors la seule façon d’autoriser la ressource est de modifier la stratégie de refus.If any policy results in a resource getting denied, then the only way to allow the resource is to modify the denying policy.

Pour plus d’informations sur les définitions de stratégie et les affectations par le biais du portail, consultez Créer une affectation de stratégie pour identifier les ressources non conformes dans votre environnement Azure.For more information on setting policy definitions and assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. Les étapes pour PowerShell et Azure CLI sont également disponibles.Steps for PowerShell and Azure CLI are also available.

Paramètres de stratégiePolicy parameters

Les paramètres de stratégie permettent de simplifier la gestion des stratégies en réduisant le nombre de définitions de stratégies que vous devez créer.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. Vous pouvez définir des paramètres lors de la création d’une définition de stratégie, pour la rendre plus générique.You can define parameters when creating a policy definition to make it more generic. Vous pouvez ensuite réutiliser cette définition de stratégie pour différents scénarios.Then you can reuse that policy definition for different scenarios. Pour ce faire, transmettez différentes valeurs lors de l’affectation de la définition de stratégie.You do so by passing in different values when assigning the policy definition. Par exemple, spécifiez un ensemble d’emplacements pour un abonnement.For example, specifying one set of locations for a subscription.

Les paramètres sont définis lors de la création d’une définition de stratégie.Parameters are defined when creating a policy definition. Quand un paramètre est défini, un nom lui est affecté et éventuellement une valeur.When a parameter is defined, it's given a name and optionally given a value. Par exemple, vous pouvez définir un paramètre pour une stratégie intitulée Emplacement.For example, you could define a parameter for a policy titled location. Vous pouvez ensuite lui attribuer différentes valeurs comme EastUS ou WestUS lors de l’affectation d’une stratégie.Then you can give it different values such as EastUS or WestUS when assigning a policy.

Pour plus d’informations sur les paramètres de stratégie, consultez Definition structure - Parameters (Structure de la définition - Paramètres).For more information about policy parameters, see Definition structure - Parameters.

Définition d’initiativeInitiative definition

Une définition d’initiative est une collection de définitions de stratégie qui sont spécialement conçues pour atteindre un objectif global particulier.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. Les définitions d’initiative simplifient la gestion et l’affectation des définitions de stratégie.Initiative definitions simplify managing and assigning policy definitions. Elles simplifient ces procédures en regroupant un ensemble de stratégies en un seul élément.They simplify by grouping a set of policies as one single item. Par exemple, vous pouvez créer une initiative intitulée Activer la surveillance dans Azure Security Center, avec comme objectif de surveiller toutes les recommandations de sécurité disponibles dans votre centre Azure Security Center.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

Notes

Le SDK, et notamment Azure CLI et Azure PowerShell, utilisent des propriétés et des paramètres nommés PolicySet pour référencer les initiatives.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

Dans cette initiative, vous avez par exemple des définitions de stratégie comme celles-ci :Under this initiative, you would have policy definitions such as:

  • Surveiller les bases de données non chiffrées dans Security Center : pour surveiller les bases de données et les serveurs SQL Server non chiffrés.Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • Surveiller les vulnérabilités du système d’exploitation dans Security Center : pour surveiller les serveurs qui ne répondent pas à la ligne de base configurée.Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Surveiller l’absence d’Endpoint Protection dans Security Center : pour surveiller les serveurs où un agent Endpoint Protection n’est pas installé.Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

Affectation d’initiativeInitiative assignment

Comme une affectation de stratégie, une affectation d’initiative est une définition d’initiative affectée à une étendue spécifique.Like a policy assignment, an initiative assignment is an initiative definition assigned to a specific scope. Les affectations d’initiative réduisent la nécessité de créer plusieurs définitions d’initiative pour chaque étendue.Initiative assignments reduce the need to make several initiative definitions for each scope. Cette étendue peut aussi aller d’un groupe d’administration à une ressource individuelle.This scope could also range from a management group to an individual resource.

Chaque initiative est affectable à différentes étendues.Each initiative is assignable to different scopes. Une initiative peut être affectée à subscriptionA et subscriptionB.One initiative can be assigned to both subscriptionA and subscriptionB.

Paramètres d’initiativeInitiative parameters

Comme les paramètres de stratégie, les paramètres d’initiative permettent de simplifier la gestion en réduisant la redondance.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. Les paramètres d’initiative sont les paramètres utilisés par les définitions de stratégie dans l’initiative.Initiative parameters are parameters being used by the policy definitions within the initiative.

Par exemple, imaginons un scénario où vous avez une définition d’initiative (initiativeC) avec les définitions de stratégie policyA et policyB, et chacune des définitions de stratégie attend un type de paramètre différent :For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

StratégiePolicy Nom de paramètreName of parameter Type de paramètreType of parameter RemarqueNote
policyApolicyA allowedLocationsallowedLocations tableauarray Ce paramètre attend une liste de chaînes pour une valeur, le type de paramètre ayant été défini comme tableauThis parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation stringstring Ce paramètre attend un mot pour une valeur, le type de paramètre ayant été défini comme chaîneThis parameter expects one word for a value since the parameter type has been defined as a string

Dans ce scénario, quand vous définissez les paramètres d’initiative pour initiativeC, vous avec trois options :In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • Utilisez les paramètres des définitions de stratégie dans cette initiative : Dans cet exemple, allowedLocations et allowedSingleLocation deviennent des paramètres d’initiative pour initiativeC.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • Fournir des valeurs pour les paramètres des définitions de stratégie dans la définition de cette initiative.Provide values to the parameters of the policy definitions within this initiative definition. Dans cet exemple, vous pouvez fournir une liste d’emplacements au paramètre de policyA, allowedLocations et au paramètre de policyB, allowedSingleLocation.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. Vous pouvez également fournir des valeurs lors de l’affectation de cette initiative.You can also provide values when assigning this initiative.
  • Fournir une liste d’options de valeurs qui peuvent être utilisées lors de l’affectation de cette initiative.Provide a list of value options that can be used when assigning this initiative. Lorsque vous affectez cette initiative, les paramètres hérités des définitions de stratégie dans l’initiative peuvent avoir seulement des valeurs provenant de cette liste fournie.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

Lorsque vous créez des options de valeur dans une définition d’initiative, vous ne pouvez pas entrer de valeur différente lors de l’affectation d’initiative, car elle ne fait pas partie de la liste.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

Nombre maximal d’objets Azure PolicyMaximum count of Azure Policy objects

Il existe un nombre maximal pour chaque type d'objet concernant Azure Policy.There's a maximum count for each object type for Azure Policy. Une entrée Scope (Étendue) fait référence soit à l’abonnement, soit au groupe d’administration.An entry of Scope means either the subscription or the management group.

WhereWhere QuoiWhat Nombre maximalMaximum count
ÉtendueScope Définitions de stratégiesPolicy definitions 500500
ÉtendueScope Définitions d’initiativeInitiative definitions 100100
LocataireTenant Définitions d’initiativeInitiative definitions 1 0001,000
ÉtendueScope Affectations de stratégies et d'initiativesPolicy or initiative assignments 100100
Définition de stratégiePolicy definition parametersParameters 2020
Définition d’initiativeInitiative definition StratégiesPolicies 100100
Définition d’initiativeInitiative definition parametersParameters 100100
Affectations de stratégies et d'initiativesPolicy or initiative assignments Exclusion (notScopes)Exclusions (notScopes) 400400
Règle de stratégiePolicy rule Éléments conditionnels imbriquésNested conditionals 512512

Recommandations pour la gestion des stratégiesRecommendations for managing policies

Voici quelques conseils et astuces à garder à l’esprit :Here are a few pointers and tips to keep in mind:

  • Commencez avec un effet d’audit plutôt qu’un effet de refus pour suivre l’impact de la définition de votre stratégie sur votre environnement.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. Si vous avez déjà des scripts en place pour mettre automatiquement à l’échelle vos applications, la définition d’un effet de refus peut entraver ces tâches d’automatisation déjà en place.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • Tenez compte des hiérarchies de l’organisation lors de la création de définitions et d’affectations.Consider organizational hierarchies when creating definitions and assignments. Nous vous recommandons de créer des définitions à des niveaux supérieurs, comme au niveau de l’abonnement ou du groupe d’administration.We recommend creating definitions at higher levels such as the management group or subscription level. Ensuite, créez l’affectation au niveau enfant suivant.Then, create the assignment at the next child level. Si vous créez une définition au niveau d’un groupe d’administration, l’affectation peut être limitée à un abonnement ou groupe de ressources au sein de ce groupe d’administration.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • Nous vous recommandons de créer et d’affecter des définitions d’initiative même pour une définition de stratégie unique.We recommend creating and assigning initiative definitions even for a single policy definition. Par exemple, vous avez la définition de stratégie policyDefA et la créez sous la définition d’initiative initiativeDefC.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. Si vous créez une autre définition de stratégie ultérieurement pour policyDefB avec des objectifs similaires à policyDefA, vous pouvez l’ajouter sous initiativeDefC et les suivre ensemble.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • Une fois que vous avez créé une affectation d’initiative, les définitions de stratégie ajoutées à l’initiative font également partie des affectations d’initiatives.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiatives assignments.

  • Lors de l’évaluation d’une affectation d’initiative, toutes les stratégies dans l’initiative sont également évaluées.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. Si vous devez évaluer une stratégie individuellement, il est préférable de ne pas l’inclure dans une initiative.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Présentation vidéoVideo overview

La présentation suivante d’Azure Policy est à partir de la Build 2018.The following overview of Azure Policy is from Build 2018. Pour le téléchargement des diapositives ou de la vidéo, accédez à Govern your Azure environment through Azure Policy (Gouvernance de votre environnement Azure à l’aide d’Azure Policy) sur Channel 9.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

Étapes suivantesNext steps

Maintenant que vous avez une vue d’ensemble d’Azure Policy et des autres concepts clés, voici les étapes suivantes que nous suggérons :Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: