Quickstart: Een beleidstoewijzing maken om niet-compatibele resources te identificeren met behulp van een Bicep-bestand

Artikel
08/28/2021
2 minuten om te lezen

De eerste stap in het begrijpen van naleving in Azure is het identificeren van de status van uw resources. In deze quickstart wordt u door het proces geleid van het gebruik van een Bicep-bestand (preview) dat is gecompileerd naar een AZURE RESOURCE MANAGER-sjabloon (ARM-sjabloon) om een beleidstoewijzing te maken om virtuele machines te identificeren die geen beheerde schijven gebruiken. Als u dit proces helemaal hebt doorlopen, kunt u virtuele machines identificeren die geen beheerde schijven gebruiken. Ze zijn niet-compatibel met de beleidstoewijzing.

Een Resource Manager-sjabloon is een JavaScript Object Notation-bestand (JSON) dat de infrastructuur en configuratie van uw project definieert. Voor de sjabloon is declaratieve syntaxis vereist. In declaratieve syntaxis beschrijft u de beoogde implementatie zonder dat u de reeks programmeeropdrachten voor het maken van de implementatie hoeft te schrijven.

Als uw omgeving voldoet aan de vereisten en u benkend bent met het gebruik van ARM-sjablonen, selecteert u de knop Implementeren naar Azure. De sjabloon wordt in Azure Portal geopend.

Vereisten

Als u nog geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Bicep-versie 0.3 of hoger geïnstalleerd. Zie Bicep installeren (preview)als u Bicep CLI nog niet hebt of moet bijwerken.

Het Bicep-bestand controleren

In deze quickstart maakt u een beleidstoewijzing en wijst u een ingebouwde beleidsdefinitie toe met de naam VM's controleren die geen beheerde schijven gebruiken ( 06a78e20-9358-41c9-923c-fb736d382a4d ). Zie Azure Policy-voorbeelden voor een gedeeltelijke lijst met beschikbare ingebouwde beleidsregels.

Maak het volgende Bicep-bestand als assignment.bicep :

param policyAssignmentName string = 'audit-vm-manageddisks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'

resource assignment 'Microsoft.Authorization/policyAssignments@2021-09-01' = {
    name: policyAssignmentName
    scope: subscriptionResourceId('Microsoft.Resources/resourceGroups', resourceGroup().name)
    properties: {
        policyDefinitionId: policyDefinitionID
    }
}

output assignmentId string = assignment.id

De resource die in het bestand is gedefinieerd, is:

Microsoft.Authorization/policyAssignments

De sjabloon implementeren

Notitie

Azure Policy-service is gratis. Zie Overzicht van Azure Policy voor meer informatie.

Nadat de Bicep CLI is geïnstalleerd en het bestand is gemaakt, kunt u het Bicep-bestand implementeren met:

PowerShell
Azure-CLI

New-AzResourceGroupDeployment `
  -Name PolicyDeployment `
  -ResourceGroupName PolicyGroup `
  -TemplateFile assignment.bicep

az deployment group create \
  --name PolicyDeployment \
  --resource-group PolicyGroup \
  --template-file assignment.bicep

Enkele andere resources:

Zie Azure Snel Starten-sjabloon voor meer voorbeelden van sjablonen.
Ga naar Azure-sjabloonverwijzing om de sjabloonverwijzing te zien.
Raadpleeg Azure Resource Manager-documentatie voor meer informatie over het ontwikkelen van ARM-sjablonen.
Raadpleeg Resourcegroepen en resources maken op abonnementsniveau voor informatie over implementatie op abonnementsniveau.

De implementatie valideren

Selecteer Naleving links op de pagina. Zoek dan de beleidstoewijzing Virtuele machines zonder beheerde schijven controleren die u hebt gemaakt.

Schermopname van de compatibiliteitsdetails op de pagina Naleving van het beleid.

Als er bestaande resources zijn die niet conform deze nieuwe toewijzing zijn, worden deze weergegeven bij Niet-conforme resources.

Zie Hoe naleving werkt voor meer informatie.

Resources opschonen

Als u de gemaakte toewijzing wilt verwijderen, volgt u deze stappen:

Selecteer Naleving (of Toewijzingen) aan de linkerkant van de pagina Azure Policy en zoek de beleidstoewijzing Controleren van virtuele machines die geen beheerde schijven gebruiken die u hebt gemaakt.
Klik met de rechtermuisknop op de beleidstoewijzing Controleer virtuele machines die niet gebruikmaken van beheerde schijven en selecteer Toewijzing verwijderen.
Verwijder het assignment.bicep bestand.

Volgende stappen

In deze quickstart wijst u een ingebouwde beleidsdefinitie toe aan een bereik en evalueert u het rapport voor naleving. De beleidsdefinitie controleert of alle resources in het bereik conform zijn en identificeert welke dit niet zijn.

Ga voor meer informatie over het toewijzen van beleid om te controleren of nieuwe resources conform zijn verder met de zelfstudie voor:

Beleid maken en beheren