Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kényszerítéséhez
A szabályzatok Azure-ban történő létrehozásának és kezelésének megértése fontos ahhoz, hogy megfeleljen a vállalati szabványoknak és a szolgáltatói szerződéseknek. Ez az oktatóanyag bemutatja, hogyan használhatja az Azure Policyt a vállalaton belüli szabályzatok létrehozásához, hozzárendeléséhez és kezeléséhez kapcsolódó gyakori feladatok elvégzésére, például a következőkre:
- Szabályzat hozzárendelése egy, a jövőben létrehozandó erőforrásokra vonatkozó feltétel kikényszerítésére
- Kezdeményezési definíció létrehozása és hozzárendelése több erőforrás megfelelőségének nyomon követése céljából
- Nem megfelelő vagy elutasított erőforrás feloldása
- Új szabályzat megvalósítása a vállalaton belül
Ha szeretne hozzárendelni egy szabályzatot a meglévő erőforrások aktuális megfelelőségi állapotának azonosításához, a rövid útmutató cikkei ismertetik ennek módját.
Előfeltételek
Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.
Szabályzat hozzárendelése
A megfelelőség Azure Policy használatával történő kikényszerítésének első lépése egy szabályzatdefiníció hozzárendelése. A szabályzatdefiníció határozza meg, hogy milyen feltétel teljesülése esetében lesz kikényszerítve a szabályzat, illetve milyen hatása lesz. Ebben a példában rendelje hozzá a Tag öröklése az erőforráscsoportból nevű beépített szabályzatdefiníciót, ha hiányzik, hogy a szülő erőforráscsoportból származó értékkel rendelkező megadott címkét hozzáadja a címkét hiányzó új vagy frissített erőforrásokhoz.
Lépjen a Azure Portal a szabályzatok hozzárendeléséhez. Keresse meg és válassza a Szabályzat lehetőséget.
Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán. A hozzárendelés egy olyan szabályzat, amely egy adott hatókörön belül érvényes.
Válassza a Szabályzat hozzárendelése lehetőséget a Szabályzat – Hozzárendelések oldal tetején.
A Szabályzat hozzárendelése lapon és az Alapvető beállítások lapon válassza ki a Hatókört a három pontra kattintva, majd válasszon egy felügyeleti csoportot vagy előfizetést. Ha szeretne, válasszon erőforráscsoportot. A hatókör határozza meg, hogy a szabályzat-hozzárendelés milyen erőforrások vagy erőforráscsoportok esetében lesz kényszerítve. Ezután válassza a Hatókör lap alján található Kiválasztás lehetőséget.
Ebben a példában a Contoso előfizetést használjuk. Saját előfizetése ettől eltérhet.
Az erőforrások kizárhatóak a Hatókör alapján. A Kizárások alacsonyabb szinten kezdődnek, mint a Hatókör szintje. A Kizárások megadása nem kötelező, ezért most hagyja üresen a mezőt.
Kattintson a Szabályzatdefiníció melletti három pontra az elérhető definíciók listájának megjelenítéséhez. A szabályzatdefiníció Típus tulajdonságát szűrheti Beépített érték alapján az összes megtekintéséhez és a leírásaik elolvasásához.
Ha hiányzik, válassza a Címke öröklése az erőforráscsoportból lehetőséget. Ha nem találja azonnal, írjon be egy címkét a keresőmezőbe, majd nyomja le az ENTER billentyűt, vagy válassza ki a keresőmezőből. Miután megtalálta és kiválasztotta a szabályzatdefiníciót, válassza a Kiválasztás lehetőséget az Elérhető definíciók lap alján.
A Hozzárendelés neve mező automatikusan kitöltődik a kiválasztott szabályzat nevével, de megadhat más nevet is. Ebben a példában hagyja meg a Címke öröklése az erőforráscsoportból lehetőséget, ha hiányzik. Ha szeretné hozzáadhat egy Leírást. A leírás a szabályzat-hozzárendeléssel kapcsolatos információkat adja meg.
Hagyja engedélyezve a házirend-kényszerítés beállítást. Ha le van tiltva, ez a beállítás lehetővé teszi a szabályzat kimenetelének tesztelését a hatás aktiválása nélkül. További információ: kényszerítési mód.
A hozzárendelt felhasználó automatikusan ki van töltve attól függően, hogy ki van bejelentkezve. Ennek a mezőnek a kitöltése nem kötelező, tehát megadhatók egyedi értékek.
Válassza a Paraméterek lapot a varázsló tetején.
A Címke neve mezőben adja meg a Környezet nevet.
Válassza a varázsló tetején található Szervizelés lapot.
Hagyja bejelöletlenül a Szervizelési feladat létrehozása jelölőnégyzetet. Ez a mező lehetővé teszi, hogy olyan tevékenységet hozzon létre, amely az új vagy frissített erőforrások mellett a meglévő erőforrásokat is módosítja. További információ: Erőforrások szervizelése.
A felügyelt identitás létrehozása automatikusan be van jelölve, mivel ez a szabályzatdefiníció a módosítási effektust használja. Az engedélyek a szabályzatdefiníció alapján automatikusan Közreműködő értékre lesznek állítva. További információ: Felügyelt identitások és a szervizelési hozzáférés-vezérlés működése.
Válassza a Nem megfelelő üzenetek lapot a varázsló tetején.
Állítsa a Meg nem felelés üzenetetaz Ez az erőforrás nem rendelkezik a szükséges címkével beállításra. Ez az egyéni üzenet akkor jelenik meg, ha a rendszer megtagad egy erőforrást vagy nem megfelelő erőforrásokat a rendszeres kiértékelés során.
Válassza a véleményezés és létrehozás lapot a varázsló tetején.
Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget az oldal alján.
Új egyéni szabályzat megvalósítása
Most, hogy hozzárendelt egy beépített szabályzatdefiníciót, még többet végezhet el az Azure Policyvel. Ezután hozzon létre egy új egyéni szabályzatot a költségek megtakarításához, mert ellenőrizze, hogy a környezetben létrehozott virtuális gépek nem lehetnek a G sorozatban. Így minden alkalommal, amikor a szervezet egy felhasználója megpróbál létrehozni egy virtuális gépet a G sorozatban, a rendszer elutasítja a kérést.
A Azure Policy lap bal oldalán válassza a Definíciók elemet a Létrehozás területen.
Kattintson a + Szabályzatdefiníció elemre a lap tetején. Ez a gomb megnyílik a Szabályzatdefiníció lapon.
Adja meg a következő információkat:
Az a felügyeleti csoport vagy előfizetés, amelyben a szabályzatdefiníció mentve lett. A kiválasztáshoz kattintson a Definíció helye alatt található három pontra.
Megjegyzés
Ha ezt a szabályzatdefiníciót több előfizetésre szeretné alkalmazni, a helynek egy olyan felügyeleti csoportnak kell lennie, amely tartalmazza azokat az előfizetéseket, amelyekhez hozzárendeli a szabályzatot. Ugyanez vonatkozik a kezdeményezési definíciókra.
A szabályzatdefiníció neve – A G sorozatban nem szereplő virtuálisgép-termékváltozatok megkövetelése
A szabályzatdefiníció rendeltetésének leírása – Ez a szabályzatdefiníció kikényszeríti, hogy a hatókörben létrehozott összes virtuális gép A G sorozattól eltérő termékváltozatokkal rendelkezzen a költségek csökkentése érdekében.
Válasszon a meglévő lehetőségek közül (például Compute), vagy hozzon létre egy új kategóriát ehhez a szabályzatdefinícióhoz.
Másolja le az alábbi JSON-kódot, és frissítse az igényeinek megfelelően az alábbiakkal:
- A szabályzat paraméterei.
- A szabályzatszabályok/feltételek, ebben az esetben – A virtuális gép termékváltozatának mérete G sorozattal egyenlő
- A szabályzat hatása, ebben az esetben - Megtagadás.
A JSON-kódnak így kell kinéznie. Illessze be a módosított kódot az Azure Portalra.
{ "policyRule": { "if": { "allOf": [{ "field": "type", "equals": "Microsoft.Compute/virtualMachines" }, { "field": "Microsoft.Compute/virtualMachines/sku.name", "like": "Standard_G*" } ] }, "then": { "effect": "deny" } } }
A szabályzatszabály mezőtulajdonságának támogatott értéknek kell lennie. Az értékek teljes listája a szabályzatdefiníció-struktúramezőkben található. Példa egy aliasra:
"Microsoft.Compute/VirtualMachines/Size"
.További Azure Policy minták megtekintéséhez lásd Azure Policy mintákat.
Válassza a Mentés lehetőséget.
Szabályzatdefiníció létrehozása REST API-val
Szabályzatot a REST API-val hozhat létre Azure Policy-definíciókhoz. A REST API lehetővé teszi a szabályzatdefiníciók létrehozását és törlését, valamint a meglévő definíciók információinak lekérését. Szabályzatdefiníció létrehozásához használja a következő példát:
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}
Használjon az alábbi példában láthatóhoz hasonló kéréstörzset:
{
"properties": {
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
Szabályzatdefiníció létrehozása a PowerShell használatával
A PowerShell-példa használata előtt győződjön meg arról, hogy telepítette az Azure PowerShell Az modul legújabb verzióját.
Szabályzatdefiníciót a New-AzPolicyDefinition
parancsmag használatával is létrehozhat.
Szabályzatdefiníció fájlból történő létrehozásához adja meg a fájl elérési útját. Külső fájl esetében használja az alábbi példát:
$definition = New-AzPolicyDefinition `
-Name 'denyCoolTiering' `
-DisplayName 'Deny cool access tiering for storage' `
-Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'
Helyi fájl esetében használja a következő példát:
$definition = New-AzPolicyDefinition `
-Name 'denyCoolTiering' `
-Description 'Deny cool access tiering for storage' `
-Policy 'c:\policies\coolAccessTier.json'
Beágyazott szabállyal rendelkező szabályzatdefiníció létrehozásához használja a következő példát:
$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "kind",
"equals": "BlobStorage"
},
{
"field": "Microsoft.Storage/storageAccounts/accessTier",
"equals": "cool"
}
]
},
"then": {
"effect": "deny"
}
}'
A kimenetet egy $definition
objektumban tárolja a rendszer, amely a szabályzat-hozzárendelés során használatos. Az alábbi példában paramétereket tartalmazó szabályzatdefiníciót hozunk létre:
$policy = '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field": "location",
"in": "[parameters(''allowedLocations'')]"
}
}
]
},
"then": {
"effect": "Deny"
}
}'
$parameters = '{
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying storage accounts.",
"strongType": "location",
"displayName": "Allowed locations"
}
}
}'
$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters
Szabályzatdefiníciók megtekintése a PowerShell használatával
Az előfizetés összes szabályzatdefiníciójának megtekintéséhez használja az alábbi parancsot:
Get-AzPolicyDefinition
Visszaadja az összes elérhető szabályzatdefiníciót, köztük a beépített szabályzatokat is. Minden szabályzat az alábbi formátumban lesz visszaadva:
Name : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType : Microsoft.Authorization/policyDefinitions
Properties : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
restrict the locations your organization can specify when deploying resources. Use to enforce
your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
Szabályzatdefiníció létrehozása az Azure CLI használatával
A paranccsal szabályzatdefiníciót hozhat létre az az policy definition
Azure CLI használatával. Beágyazott szabállyal rendelkező szabályzatdefiníció létrehozásához használja a következő példát:
az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "kind",
"equals": "BlobStorage"
},
{
"field": "Microsoft.Storage/storageAccounts/accessTier",
"equals": "cool"
}
]
},
"then": {
"effect": "deny"
}
}'
Szabályzatdefiníciók megtekintése az Azure CLI használatával
Az előfizetés összes szabályzatdefiníciójának megtekintéséhez használja az alábbi parancsot:
az policy definition list
Visszaadja az összes elérhető szabályzatdefiníciót, köztük a beépített szabályzatokat is. Minden szabályzat az alábbi formátumban lesz visszaadva:
{
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
"displayName": "Allowed locations",
"id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
"name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('listOfAllowedLocations')]"
}
},
"then": {
"effect": "Deny"
}
},
"policyType": "BuiltIn"
}
Kezdeményezési definíció létrehozása és hozzárendelése
A kezdeményezési definícióval több szabályzatdefiníciót csoportosíthat egy átfogó cél eléréséhez. A kezdeményezés kiértékeli a hozzárendelés hatókörébe tartozó erőforrásokat a belefoglalt szabályzatoknak való megfelelés érdekében. További információt a kezdeményezési definíciókról az Azure Policy – áttekintés című részben talál.
Kezdeményezési definíció létrehozása
A Azure Policy oldal bal oldalán válassza a Definíciók elemet a Létrehozás területen.
A lap tetején válassza a + Kezdeményezésdefiníció lehetőséget a Kezdeményezésdefiníció varázsló megnyitásához.
A Kezdeményezés helye három ponttal válasszon ki egy felügyeleti csoportot vagy előfizetést a definíció tárolásához. Ha az előző lap hatóköre egyetlen felügyeleti csoportra vagy előfizetésre terjed ki, a rendszer automatikusan kitölti a kezdeményezés helyét .
Adja meg a kezdeményezés nevét és leírását.
Ez a példa ellenőrzi, hogy az erőforrások megfelelnek-e a biztonságossá tételre vonatkozó szabályzatdefinícióknak. Adja a kezdeményezésnek a Biztonságossá tétel nevet, és állítsa be a következő leírást: Ez a kezdeményezés az erőforrások biztosításához kapcsolódó szabályzatdefiníciók kezelésére lett létrehozva.
A Kategória megadásakor válasszon a meglévő lehetőségek közül, vagy hozzon létre új kategóriát.
Állítson be egy verziót a kezdeményezéshez, például az 1.0-s verziót.
Megjegyzés
A verzióérték szigorúan metaadatok, és nem használatos frissítésekhez vagy a Azure Policy szolgáltatás semmilyen folyamatához.
Válassza a Tovább gombot a lap alján, vagy a házirendek lapot a varázsló tetején.
Válassza a Szabályzatdefiníció(k) hozzáadása gombot, és tallózással keresse meg a listát. Válassza ki a kezdeményezéshez hozzáadni kívánt szabályzatdefiníció(ka)t. A Biztonságossá tétel kezdeményezéshez adja hozzá a következő beépített szabályzatdefiníciókat a szabályzatdefiníció melletti jelölőnégyzet bejelölésével:
- Engedélyezett helyek
- A végpontvédelmet telepíteni kell a gépekre
- Az internetkapcsolattal nem rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
- Azure Backup engedélyezni kell a Virtual Machines
- A virtuális gépeken alkalmazni kell a lemeztitkosítást
- Címke hozzáadása vagy cseréje erőforrásokhoz (kétszer adja hozzá ezt a szabályzatdefiníciót)
Miután kiválasztotta az egyes szabályzatdefiníciók listáját, a lista alján válassza a Hozzáadás lehetőséget. Mivel kétszer van hozzáadva, az Erőforrás-szabályzatdefiníciók címkéjének hozzáadása vagy cseréje mindegyik más referenciaazonosítót kap.
Megjegyzés
A kijelölt szabályzatdefiníciók hozzáadhatók a csoportokhoz egy vagy több hozzáadott definíció kiválasztásával, majd a Kijelölt szabályzatok hozzáadása csoporthoz lehetőséget választva. A csoportnak először léteznie kell, és a varázsló Csoportok lapján hozható létre.
Válassza a Tovább gombot a lap alján, vagy a csoportok lapot a varázsló tetején. Ezen a lapon új csoportok vehetők fel. Ebben az oktatóanyagban nem adunk hozzá csoportokat.
Válassza a Tovább gombot a lap alján vagy a Kezdeményezési paraméterek lapon a varázsló tetején. Ha azt szeretnénk, hogy egy paraméter létezik a kezdeményezésnél egy vagy több belefoglalt szabályzatdefiníciónak való továbbításhoz, a paraméter itt lesz definiálva, majd a Szabályzatparaméterek lapon lesz felhasználva. Ebben az oktatóanyagban nem adunk hozzá kezdeményezési paramétereket.
Megjegyzés
A kezdeményezésdefinícióba mentett kezdeményezési paraméterek nem törölhetők a kezdeményezésből. Ha már nincs szükség kezdeményezési paraméterre, távolítsa el a szabályzatdefiníciós paraméterekből.
Válassza a Tovább gombot a lap alján, vagy a házirendparaméterek lapot a varázsló tetején.
A kezdeményezéshez hozzáadott, paraméterekkel rendelkező szabályzatdefiníciók egy rácsban jelennek meg. Az érték típusa lehet "Alapértelmezett érték", "Érték beállítása" vagy "Kezdeményezési paraméter használata". Ha az "Érték beállítása" beállítás van kiválasztva, a kapcsolódó érték az Érték(ek) területen lesz megadva. Ha a szabályzatdefiníció paramétere tartalmazza az engedélyezett értékek listáját, a beviteli mező egy legördülő listaválasztó. Ha a "Kezdeményezési paraméter használata" lehetőség van kiválasztva, a legördülő lista kiválasztásakor megjelenik a Kezdeményezési paraméterek lapon létrehozott kezdeményezési paraméterek neve.
Megjegyzés
Egyes
strongType
paraméterek esetében az értékek listája nem határozható meg automatikusan. Ezekben az esetekben három pont jelenik meg a paraméterek sorától jobbra. A kiválasztásával megnyílik a "Paraméter hatóköre (<paraméter neve>)" lap. Ezen az oldalon válassza ki az értéklehetőségek biztosítására szolgáló előfizetést. Ez a paraméter-hatókör kizárólag a kezdeményezés hozzárendelésének létrehozásakor használatos, és hozzárendelésekor nincs hatással a szabályzat-kiértékelésre vagy a kezdeményezés hatókörére.Állítsa az "Engedélyezett helyek" értéktípust "Érték beállítása" értékre, és válassza az USA 2. keleti régiója elemet a legördülő listából. Az Erőforrás-szabályzatdefiníciók címkéjének hozzáadása vagy cseréje két példánya esetén állítsa a Címkenév paramétereket "Env" és "CostCenter" értékre, a Címkeérték paramétereket pedig "Teszt" és "Lab" értékre az alább látható módon. Hagyja a többit "Alapértelmezett értékként". Ugyanazt a definíciót kétszer használva a kezdeményezésben, de különböző paraméterekkel, ez a konfiguráció hozzáad vagy lecserél egy "Env" címkét a "Test" értékre, a CostCenter címkét pedig a "Lab" értékre a hozzárendelés hatókörében lévő erőforrásokon.
Válassza a Véleményezés + létrehozás lehetőséget az oldal alján vagy a varázsló tetején.
Tekintse át a beállításokat, és válassza a Létrehozás lehetőséget.
Szabályzat kezdeményezési definíciójának létrehozása az Azure CLI-vel
A paranccsal létrehozhat egy szabályzat kezdeményezési definíciót az az policy set-definition
Azure CLI használatával. Ha egy szabályzatkezdeményezet-definíciót meglévő szabályzatdefinícióval szeretne létrehozni, használja az alábbi példát:
az policy set-definition create -n readOnlyStorage --definitions '[
{
"policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
"parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
}
]' \
--params '{ "requiredSku": { "type": "String" } }'
Szabályzat kezdeményezési definíciójának létrehozása Azure PowerShell
A szabályzat kezdeményezési definícióját a parancsmaggal New-AzPolicySetDefinition
Azure PowerShell használatával hozhatja létre. Ha egy szabályzatkezdeményezet-definíciót egy meglévő szabályzatdefinícióval szeretne létrehozni, használja a következő szabályzatkezdeményezet-definíciós fájlt:VMPolicySet.json
[
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
"parameters": {
"tagName": {
"value": "Business Unit"
},
"tagValue": {
"value": "Finance"
}
}
},
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
}
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json
Kezdeményezési definíció hozzárendelése
A Azure Policy oldal bal oldalán válassza a Definíciók elemet a Létrehozás területen.
Keresse meg és válassza ki a korában létrehozott Biztonságossá tétel kezdeményezési definíciót. A lap tetején válassza a Hozzárendelés lehetőséget a Biztonságossá tétel: Kezdeményezés hozzárendelése lap megnyitásához.
Kijelölheti és megtarthatja a kijelölt sort (vagy jobb gombbal kattinthat rá), vagy kijelölheti a három pontot a sor végén egy helyi menüben. Ezután válassza a Hozzárendelés lehetőséget.
A Biztonságossá tétel: kezdeményezés hozzárendelése oldalon adja meg a következő példaadatokat. A saját adatait is használhatja.
- Hatókör: A felügyeleti csoport vagy előfizetés, ahová a kezdeményezést mentette lesz az alapértelmezett. A hatókör módosításához mentse a kezdeményezést egy előfizetésbe vagy erőforráscsoportba a mentési helyen belül.
- Kizárások: a hatókörön belül bármely erőforrást konfigurálhatja úgy, hogy a kezdeményezési hozzárendelés ne legyen alkalmazva rá.
- Kezdeményezési definíció és hozzárendelés neve: Biztonságossá tétel (a rendszer automatikusan a hozzárendelt kezdeményezés nevével tölti fel a mezőt).
- Leírás: Ez a kezdeményezési hozzárendelés ennek a szabályzatdefiníció-csoportnak a kikényszerítésére lett létrehozva.
- Szabályzatkényszerítés: Hagyja meg alapértelmezett engedélyezveként.
- Hozzárendelte: A kitöltése automatikus az éppen bejelentkezett felhasználó alapján. Ennek a mezőnek a kitöltése nem kötelező, tehát megadhatók egyedi értékek.
Válassza a Paraméterek lapot a varázsló tetején. Ha az előző lépésekben konfigurált egy kezdeményezési paramétert, itt állítson be egy értéket.
Válassza a varázsló tetején található Szervizelés lapot. A Felügyelt identitás létrehozása jelölőnégyzetet hagyja üresen. Ezt a jelölőnégyzetet be kell jelölni, ha a hozzárendelt szabályzat vagy kezdeményezés tartalmaz egy szabályzatot a deployIfNotExists vagy a módosítási effektusokkal. Mivel az oktatóanyaghoz használt szabályzat nem, hagyja üresen. További információ: Felügyelt identitások és a szervizelési hozzáférés-vezérlés működése.
Válassza a véleményezés és létrehozás lapot a varázsló tetején.
Tekintse át a kijelölt elemeket, majd válassza a Létrehozás lehetőséget az oldal alján.
Kezdeti megfelelőség ellenőrzése
Válassza a Megfelelőség lehetőséget az Azure Policy lap bal oldalán.
Keresse meg a Biztonságossá tétel kezdeményezést. Valószínűleg még mindig Nem indult elmegfelelőségi állapotban van. Válassza ki a kezdeményezést a feladat teljes részleteinek lekéréséhez.
A kezdeményezés hozzárendelésének befejezését követően a megfelelőségi lap frissül a MegfelelőMegfelelőségi állapottal.
Ha kiválaszt egy szabályzatot a kezdeményezés megfelelőségi oldalán, megnyílik a szabályzat megfelelőségi részleteinek oldala. Ez a lap az erőforrás szintjén tartalmaz részleteket a megfelelőséghez.
Nem megfelelő vagy megtagadott erőforrás eltávolítása a hatókörből kizárással
Miután hozzárendelt egy szabályzatkezdeményezést egy adott hely megköveteléséhez, a rendszer elutasítja a másik helyen létrehozott erőforrásokat. Ebben a szakaszban végigvezeti egy erőforrás létrehozására irányuló megtagadott kérés feloldásán egy kivétel egyetlen erőforráscsoporton történő létrehozásával. A kizárás megakadályozza a szabályzat (vagy kezdeményezés) kényszerítését az adott erőforráscsoporton. Az alábbi példában bármely hely engedélyezve van a kizárt erőforráscsoportban. A kizárás vonatkozhat egy előfizetésre, egy erőforráscsoportra vagy egy egyéni erőforrásra.
Megjegyzés
Egy szabályzat kivétele is használható, ha kihagyja egy erőforrás kiértékelését. További információ: Hatókör Azure Policy.
A hozzárendelt szabályzat vagy kezdeményezés által megakadályozott üzemelő példányok az üzemelő példány által megcélzott erőforráscsoportban tekinthetők meg: Válassza az Üzemelő példányok lehetőséget a lap bal oldalán, majd válassza ki a sikertelen üzembe helyezés központi telepítésének nevét . Az elutasított erőforrás Tiltott állapotúként jelenik meg a listában. Az erőforrást megtagadó szabályzat vagy kezdeményezés és hozzárendelés meghatározásához válassza a Sikertelen lehetőséget. Kattintson ide a részletekért –> az Üzembe helyezés áttekintése oldalon. A lap jobb oldalán megnyílik egy ablak a hibára vonatkozó információkkal. A Hiba részletei területen találhatók a kapcsolódó szabályzatobjektumok GUID-jai.
A Azure Policy oldalon: Válassza a Megfelelőség lehetőséget a lap bal oldalán, és válassza a Biztonságos szabályzat lekérése kezdeményezést. Ezen a lapon megnőtt a letiltott erőforrások megtagadási száma. Az Események lapon részletes információkat talál arról, hogy ki próbálta létrehozni vagy üzembe helyezni a szabályzatdefiníció által elutasított erőforrást.
Ebben a példában Trent Baker, a Contoso egyik sr. virtualizálási szakembere a szükséges munkát végezte. Helyet kell adnunk Trentnek egy kivételhez. Hozzon létre egy új, LocationsExcluded nevű erőforráscsoportot, és adjon neki kivételt a szabályzat-hozzárendelés alól.
Hozzárendelés frissítése egy kizárással
A Azure Policy lap bal oldalán válassza a Hozzárendelések elemet a Szerzői műveletek területen.
Tallózással tekintse át az összes szabályzat-hozzárendelést, és nyissa meg a Biztonságos szabályzat hozzárendelésének lekérése lehetőséget.
A Kizárás beállításához válassza ki a három pontot, majd válassza ki a kizárni kívánt erőforráscsoportot, a Példában kizárt HelyekExcluded értéket. Válassza a Hozzáadás a kijelölt hatókörhöz , majd a Mentés lehetőséget.
Megjegyzés
A szabályzatdefiníciótól és annak hatásától függően a kizárás a hozzárendelés hatókörén belüli erőforráscsoporton belüli adott erőforrásokra is vonatkozhat. Mivel ebben az oktatóanyagban megtagadási effektust használtak, nem lenne értelme beállítani a kizárást egy már létező erőforráson.
Válassza az Áttekintés + mentés , majd a Mentés lehetőséget.
Ebben a szakaszban úgy oldotta meg a megtagadott kérést, hogy egy kivételt hozott létre egyetlen erőforráscsoporton.
Az erőforrások eltávolítása
Ha végzett az oktatóanyag erőforrásaival, az alábbi lépésekkel törölheti a fent létrehozott szabályzat-hozzárendeléseket vagy definíciókat:
A Azure Policy lap bal oldalán válassza a Definíciók (vagy Hozzárendelések, ha törölni próbál egy feladatot) lehetőséget a Szerzői műveletek területen.
Keresse meg az eltávolítani kívánt új kezdeményezést vagy szabályzatdefiníciót (vagy hozzárendelést).
Kattintson a jobb gombbal a sorra, vagy a bal gombbal a definíció (vagy a hozzárendelés) mellett található három pontra, majd a Definíció törlése (vagy a Hozzárendelés törlése) parancsra.
Áttekintés
Ebben az oktatóanyagban sikeresen elvégezte a következőket:
- Hozzárendelt egy szabályzatot egy, a jövőben létrehozandó erőforrásokra vonatkozó feltétel kikényszerítésére
- Létrehozott és hozzárendelt egy kezdeményezési definíciót több erőforrás megfelelőségének nyomon követése céljából
- Feloldott egy nem megfelelő vagy elutasított erőforrást
- Megvalósított egy új szabályzatot a vállalaton belül
Következő lépések
A szabályzatdefiníciók szerkezetéről szóló további információkért lásd az alábbi cikket: