Applicare i criteri delle risorse agli account di archiviazione

Questo argomento indica diversi criteri delle risorse che è possibile applicare agli account di archiviazione di Azure. Questi criteri assicurano la coerenza per gli account di archiviazione distribuiti nell'organizzazione.

Definire i tipi di account di archiviazione consentiti

I criteri seguenti consentono di limitare i tipi di account di archiviazione che è possibile distribuire:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field": "Microsoft.Storage/storageAccounts/sku.name",
          "in": [
            "Standard_LRS",
            "Standard_GRS"
          ]
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Una regola di criterio simile con un parametro per accettare gli SKU consentiti è disponibile come definizione di criterio predefinita. Il criterio predefinito ha l'ID risorsa /providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1.

Definire il livello di accesso consentito

I criteri seguenti specificano il tipo di livello di accesso che è possibile definire per gli account di archiviazione:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "field": "kind",
        "equals": "BlobStorage"
      },
      {
        "not": {
          "field": "Microsoft.Storage/storageAccounts/accessTier",
          "equals": "cool"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Verificare che la crittografia sia abilitata

I criteri seguenti richiedono l'abilitazione della crittografia del servizio di archiviazione per tutti gli account di archiviazione:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field": "Microsoft.Storage/storageAccounts/enableBlobEncryption",
          "equals": "true"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Questa regola di criterio è anche disponibile come definizione di criterio predefinita con l'ID risorsa /providers/Microsoft.Authorization/policyDefinitions/7c5a74bf-ae94-4a74-8fcf-644d1e0e6e6f.

Passaggi successivi

  • Dopo aver definito una regola di criterio, come mostrato negli esempi precedenti, è necessario creare la definizione di criterio e assegnarla a un ambito. L'ambito può essere una sottoscrizione, un gruppo di risorse o una risorsa. Per assegnare i criteri tramite il portale, vedere Use Azure portal to assign and manage resource policies (Usare il portale di Azure per assegnare e gestire i criteri delle risorse). Per assegnare i criteri tramite l'API REST, PowerShell o l'interfaccia della riga di comando di Azure, vedere Assegnare e gestire i criteri tramite script.
  • Per indicazioni su come le aziende possono usare Resource Manager per gestire efficacemente le sottoscrizioni, vedere Azure enterprise scaffold - prescriptive subscription governance (Scaffolding aziendale Azure - Governance prescrittiva per le sottoscrizioni).