비준수 리소스를 식별하는 정책 할당 만들기Create a policy assignment to identify non-compliant resources

Azure의 규정 준수를 이해하는 첫 번째 단계는 리소스 상태를 식별하는 것입니다.The first step in understanding compliance in Azure is to identify the status of your resources. 이 빠른 시작은 관리 디스크를 사용하지 않는 가상 머신을 식별하는 정책 할당 만들기 과정을 단계별로 안내합니다.This quickstart steps you through the process of creating a policy assignment to identify virtual machines that aren't using managed disks.

이 프로세스가 끝나면 관리 디스크를 사용하지 않는 가상 머신이 식별됩니다.At the end of this process, you'll successfully identify virtual machines that aren't using managed disks. 이 가상 머신은 정책 할당과 비호환됩니다.They're non-compliant with the policy assignment.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.If you don't have an Azure subscription, create a free account before you begin.

정책 할당 만들기Create a policy assignment

이 빠른 시작에서는 정책 할당을 만들고 ‘관리 디스크를 사용하지 않는 VM 감사’ 정책 정의를 할당합니다.In this quickstart, you create a policy assignment and assign the Audit VMs that do not use managed disks policy definition.

  1. 모든 서비스를 클릭한 후 정책을 검색하고 선택하여 Azure Portal에서 Azure Policy 서비스를 시작합니다.Launch the Azure Policy service in the Azure portal by clicking All services, then searching for and selecting Policy.

    모든 서비스에서 정책 검색

  2. Azure Policy 페이지의 왼쪽에서 할당을 선택합니다.Select Assignments on the left side of the Azure Policy page. 할당은 특정 범위 내에서 수행하도록 할당된 정책입니다.An assignment is a policy that has been assigned to take place within a specific scope.

    정책 개요 페이지의 할당 선택 페이지

  3. 정책 - 할당 창의 위쪽에서 정책 할당을 선택합니다.Select Assign Policy from the top of the Policy - Assignments page.

    할당 페이지에서 정책 정의 할당

  4. 정책 할당 페이지에서 줄임표를 클릭하고 관리 그룹 또는 구독을 선택하여 범위를 선택합니다.On the Assign Policy page, select the Scope by clicking the ellipsis and selecting either a management group or subscription. 원하는 경우 리소스 그룹을 선택합니다.Optionally, select a resource group. 범위는 정책 할당이 적용되는 리소스 또는 리소스 그룹을 결정합니다.A scope determines what resources or grouping of resources the policy assignment gets enforced on. 그 후 범위 페이지의 맨 위에서 선택을 클릭합니다.Then click Select at the bottom of the Scope page.

    이 예제에서는 Contoso 구독을 사용합니다.This example uses the Contoso subscription. 구독을 사용합니다.Your subscription will differ.

  5. 범위에 따라 리소스를 제외할 수 있습니다.Resources can be excluded based on the Scope. 제외범위 수준보다 한 수준 아래에서 시작됩니다.Exclusions start at one level lower than the level of the Scope. 제외는 원하는 경우에만 적용하면 되므로 지금은 비워 둡니다.Exclusions are optional, so leave it blank for now.

  6. 정책 정의 줄임표를 선택하여 사용 가능한 정의 목록을 엽니다.Select the Policy definition ellipsis to open the list of available definitions. Azure Policy에는 사용 가능한 기본 제공 정책 정의가 포함되어 있습니다.Azure Policy comes with built-in policy definitions you can use. 다음과 같은 여러 정의를 사용할 수 있습니다.Many are available, such as:

    • 태그 및 해당 값 강제 적용Enforce tag and its value
    • 태그 및 해당 값 적용Apply tag and its value
    • SQL Server 버전 12.0 필요Require SQL Server version 12.0

    사용 가능한 기본 제공 정책의 부분 목록은 정책 샘플을 참조하세요.For a partial list of available built-in policies, see Policy samples.

  7. 정책 정의 목록을 검색하여 관리 디스크를 사용하지 않는 VM 감사 정의를 찾습니다.Search through the policy definitions list to find the Audit VMs that do not use managed disks definition. 해당 정책을 클릭하고 선택을 클릭합니다.Click on that policy and click Select.

    올바른 정책 정의 찾기

  8. 선택한 이름이 할당 이름에 자동으로 채워지지만, 할당 이름을 변경할 수 있습니다.The Assignment name is automatically populated with the policy name you selected, but you can change it. 이 예에서는 관리 디스크를 사용하지 않는 VM 감사를 사용합니다.For this example, leave Audit VMs that do not use managed disks. 선택적인 설명을 추가할 수도 있습니다.You can also add an optional Description. 설명은 이 정책 할당에 대한 세부 정보를 제공합니다.The description provides details about this policy assignment. 할당한 사람은 로그인한 사용자를 기준으로 자동 입력됩니다.Assigned by will automatically fill based on who is logged in. 이 필드는 선택 사항이므로 사용자 지정 값을 입력할 수 있습니다.This field is optional, so custom values can be entered.

  9. 관리 ID 만들기는 선택하지 않은 상태로 유지합니다.Leave Create a Managed Identity unchecked. 정책이나 이니셔티브에 deployIfNotExists가 적용된 정책이 있으면 이 확인란을 선택해야 합니다.This box must be checked when the policy or initiative includes a policy with the deployIfNotExists effect. 이 빠른 시작에 사용되는 정책의 경우 해당 항목이 적용되지 않으므로 이 확인란을 비워 둡니다.As the policy used for this quickstart doesn't, leave it blank. 자세한 내용은 관리 ID수정 보안의 작동 방식을 참조하세요.For more information, see managed identities and how remediation security works.

  10. 할당을 클릭합니다.Click Assign.

이제 규정 비준수 리소스를 식별하여 환경의 준수 상태를 파악할 준비가 되었습니다.You’re now ready to identify non-compliant resources to understand the compliance state of your environment.

규정 비준수 리소스 식별Identify non-compliant resources

페이지 왼쪽에서 준수를 선택합니다.Select Compliance in the left side of the page. 그런 다음, 앞에서 만든 관리 디스크를 사용하지 않는 감사 VM 정책 할당을 찾습니다.Then locate the Audit VMs that do not use managed disks policy assignment you created.

정책 규정 준수 페이지의 규정 준수 세부 정보

이 새로운 할당을 준수하지 않는 기존 리소스가 있는 경우 비준수 리소스 아래에 표시됩니다.If there are any existing resources that aren't compliant with this new assignment, they appear under Non-compliant resources.

기존 리소스에 대해 조건을 평가한 결과 이것이 사실로 확인된 경우 해당 리소스는 정책 비준수 항목으로 표시됩니다.When a condition is evaluated against your existing resources and found true, then those resources are marked as non-compliant with the policy. 다음 표는 여러 정책 효과가 조건 평가와 함께 작동하여 어떤 준수 상태로 이어지는지 보여줍니다.The following table shows how different policy effects work with the condition evaluation for the resulting compliance state. Azure Portal에서는 평가 논리는 표시되지 않지만 준수 상태 결과가 표시됩니다.Although you don’t see the evaluation logic in the Azure portal, the compliance state results are shown. 규정 준수 상태 결과는 준수 또는 비준수입니다.The compliance state result is either compliant or non-compliant.

리소스 상태Resource State 효과Effect 정책 평가Policy Evaluation 규정 준수 상태Compliance State
existsExists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist*Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* TrueTrue 비준수Non-Compliant
existsExists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist*Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* FalseFalse 준수Compliant
새로 만들기New Audit, AuditIfNotExist*Audit, AuditIfNotExist* TrueTrue 비준수Non-Compliant
새로 만들기New Audit, AuditIfNotExist*Audit, AuditIfNotExist* FalseFalse 준수Compliant

* Append, DeployIfNotExist 및 AuditIfNotExist 효과는 IF 문이 TRUE여야 합니다.* The Append, DeployIfNotExist, and AuditIfNotExist effects require the IF statement to be TRUE. 또한 이 효과는 비준수가 되려면 존재 조건이 FALSE가 되어야 합니다.The effects also require the existence condition to be FALSE to be non-compliant. TRUE인 경우 IF 조건이 관련 리소스에 대한 존재 조건의 평가를 트리거합니다.When TRUE, the IF condition triggers evaluation of the existence condition for the related resources.

리소스 정리Clean up resources

만든 할당을 제거하려면 다음 단계를 따르세요.To remove the assignment created, follow these steps:

  1. Azure Policy 페이지 왼쪽에서 준수(또는 할당)를 선택하고 앞에서 만든 관리 디스크를 사용하지 않는 감사 VM 정책 할당을 찾습니다.Select Compliance (or Assignments) in the left side of the Azure Policy page and locate the Audit VMs that do not use managed disks policy assignment you created.

  2. 관리 디스크를 사용하지 않는 VM 감사 정책 할당을 마우스 오른쪽 단추로 클릭하고 할당 삭제를 선택합니다.Right-click the Audit VMs that do not use managed disks policy assignment and select Delete assignment

    규정 준수 페이지에서 할당 삭제

다음 단계Next steps

이 빠른 시작에서는 범위에 정책 정의를 할당하고 규정 준수 보고서를 평가했습니다.In this quickstart, you assigned a policy definition to a scope and evaluated its compliance report. 정책 정의는 범위 내 모든 리소스가 규정을 준수하는지 확인하고, 규정을 준수하지 않는 리소스를 파악합니다.The policy definition validates that all the resources in the scope are compliant and identifies which ones aren't.

새 리소스가 규정을 준수하는지 확인하는 정책을 할당하는 방법을 알아보려면 다음 자습서를 계속 진행하세요.To learn more about assigning policies to validate that new resources are compliant, continue to the tutorial for: