Veelvoorkomende Azure Policy voorbeelden
Azure Policy kunt u helpen governance toe te passen op uw cloudresources. Deze service kan u helpen bij het maken van kaders die ervoor zorgen dat het hele bedrijf voldoet aan de vereisten van het governancebeleid. Gebruik de cmdlets Azure Portal of PowerShell om beleidsregels te maken. Dit artikel bevat voorbeelden van PowerShell-cmdlets.
Notitie
Met Azure Policy wordt afdwingingsbeleid (DeployIfNotExists) niet automatisch geïmplementeerd op bestaande VM's. Herstel is vereist om vm's in overeenstemming te houden. Zie Niet-compatibele resources herstellen met Azure Policy voor meer informatie.
Veelvoorkomende beleidsvoorbeelden
In de volgende secties worden enkele veelgebruikte beleidsregels beschreven.
Resourceregio's beperken
Naleving van regelgeving en beleid is vaak afhankelijk van de controle van de fysieke locatie waar resources worden geïmplementeerd. U kunt een ingebouwd beleid gebruiken om gebruikers toe te staan alleen resources te maken in bepaalde toegestane Azure-regio's.
Als u dit beleid in de portal wilt vinden, zoekt u naar 'locatie' op de pagina met beleidsdefinities. Of voer deze cmdlet uit om het beleid te vinden:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq 'BuiltIn') `
-and ($_.Properties.displayName -like '*location*') }
Het volgende script laat zien hoe u het beleid toewijst. Wijzig de $SubscriptionID waarde zodat deze verwijst naar het abonnement waaraan u het beleid wilt toewijzen. Voordat u het script uitvoert, gebruikt u de Connect-AzAccount cmdlet om u aan te melden.
# Specify the value for $SubscriptionID.
$SubscriptionID = <subscription ID>
$scope = "/subscriptions/$SubscriptionID"
# Replace the -Name GUID with the policy GUID you want to assign.
$AllowedLocationPolicy = Get-AzPolicyDefinition -Name "e56962a6-4747-49cd-b67b-bf8b01975c4c"
# Replace the locations with the ones you want to specify.
$policyParam = '{ "listOfAllowedLocations":{"value":["eastus","westus"]}}'
New-AzPolicyAssignment -Name "Allowed Location" -DisplayName "Allowed locations for resource creation" -Scope $scope -PolicyDefinition $AllowedLocationPolicy -Location eastus -PolicyParameter $policyParam
U kunt dit script ook gebruiken om de andere beleidsregels toe te passen die in dit artikel worden besproken. Vervang de GUID in de regel die wordt ingesteld $AllowedLocationPolicy door de GUID van het beleid dat u wilt toepassen.
Bepaalde resourcetypen blokkeren
Een ander algemeen ingebouwd beleid dat wordt gebruikt om de kosten te beheersen, kan ook worden gebruikt om bepaalde resourcetypen te blokkeren.
Als u dit beleid in de portal wilt vinden, zoekt u naar 'toegestane resourcetypen' op de pagina met beleidsdefinities. Of voer deze cmdlet uit om het beleid te vinden:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq "BuiltIn") -and ($_.Properties.displayName -like "*allowed resource types") }
Nadat u het beleid hebt geïdentificeerd dat u wilt gebruiken, kunt u het PowerShell-voorbeeld wijzigen in de sectie Resourceregio's beperken om het beleid toe te wijzen.
VM-grootte beperken
Azure biedt een breed scala aan VM-grootten ter ondersteuning van verschillende workloads. Als u uw budget wilt beheren, kunt u een beleid maken dat slechts een subset van VM-grootten in uw abonnementen toestaat.
Antimalware implementeren
U kunt dit beleid gebruiken om de Microsoft Antimalware-extensie met een standaardconfiguratie te implementeren op VM's die niet worden beveiligd door antimalware.
De guid van het beleid is 2835b622-407b-4114-9198-6f7064cbe0dc.
Het volgende script laat zien hoe u het beleid toewijst. Als u het script wilt gebruiken, wijzigt u de $SubscriptionID waarde zodat deze verwijst naar het abonnement waaraan u het beleid wilt toewijzen. Voordat u het script uitvoert, gebruikt u de Connect-AzAccount cmdlet om u aan te melden.
# Specify the value for $SubscriptionID.
$subscriptionID = <subscription ID>
$scope = "/subscriptions/$subscriptionID"
$antimalwarePolicy = Get-AzPolicyDefinition -Name "2835b622-407b-4114-9198-6f7064cbe0dc"
# Replace location "eastus" with the value that you want to use.
New-AzPolicyAssignment -Name "Deploy Antimalware" -DisplayName "Deploy default Microsoft IaaSAntimalware extension for Windows Server" -Scope $scope -PolicyDefinition $antimalwarePolicy -Location eastus -AssignIdentity
Volgende stappen
Meer informatie over andere hulpprogramma's en services voor serverbeheer die beschikbaar zijn.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor