Szybki start: tworzenie przypisania zasad w celu zidentyfikowania niezgodnych zasobów

Pierwszym krokiem do zrozumienia pojęcia zgodności na platformie Azure jest określenie obecnej sytuacji dotyczącej Twoich zasobów. Ten przewodnik Szybki start przeprowadzi Cię przez proces tworzenia przypisania zasad w celu zidentyfikowania maszyn wirtualnych, które nie korzystają z dysków zarządzanych.

Po zakończeniu tego procesu pomyślnie zidentyfikujesz maszyny wirtualne, które nie korzystają z dysków zarządzanych. Są one niezgodne z przypisaniem zasad.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie przypisania zasad

W tym przewodniku Szybki start utworzysz przypisanie zasad i przypiszesz definicję zasad Audit VMs that do not use managed disks (Przeprowadź inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych).

  1. Uruchom usługę Azure Policy w Azure Portal, wybierając pozycję Wszystkie usługi, a następnie wyszukując i wybierając pozycję Zasady.

    Zrzut ekranu przedstawiający wyszukiwanie zasad we wszystkich usługach.

  2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy. Przypisanie to zasady, które zostały przypisane do określonego zakresu.

    Zrzut ekranu przedstawiający wybieranie strony Przypisania na stronie Przegląd zasad.

  3. Wybierz pozycję Przypisz zasady w górnej części strony Zasady — Przypisania.

    Zrzut ekranu przedstawiający wybieranie opcji "Przypisz zasady" na stronie Przypisania.

  4. Na stronie Przypisywanie zasad ustaw zakres, wybierając wielokropek, a następnie wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, jakie zasoby lub grupy zasobów są wymuszane w ramach przypisania zasad. Następnie użyj przycisku Wybierz w dolnej części strony Zakres.

    W tym przykładzie użyto subskrypcji Contoso. Twoja subskrypcja będzie inna.

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Usługa Azure Policy zawiera wbudowane definicje zasad, których możesz używać. Dostępnych jest wiele wbudowanych definicji, na przykład:

    • Enforce tag and its value (Wymuś tag i jego wartość)
    • Apply tag and its value (Zastosuj tag i jego wartość)
    • Dziedziczenie tagu z grupy zasobów, jeśli go nie ma

    Aby uzyskać częściową listę dostępnych wbudowanych zasad, zobacz Azure Policy przykłady.

  7. Przeszukaj listę definicji zasad, aby znaleźć definicję Audit VMs that do not use managed disks (Przeprowadź inspekcję maszyn wirtualnych, które nie używają dysków zarządzanych). Wybierz te zasady, a następnie użyj przycisku Wybierz.

    Zrzut ekranu przedstawiający filtrowanie dostępnych definicji.

  8. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw nazwę Audit VMs that do not use managed disks (Przeprowadź inspekcję maszyn wirtualnych, które nie używają dysków zarządzanych). Można również dodać opcjonalny Opis. Opis zawiera szczegóły dotyczące danego przypisania zasad. Pole Przypisane przez jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  9. Pozostaw wymuszanie zasad włączone. Aby uzyskać więcej informacji, zobacz Przypisywanie zasad — tryb wymuszania.

  10. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry w górnej części strony, aby przejść do następnego segmentu kreatora przypisania.

  11. Jeśli definicja zasad wybrana na karcie Podstawowe zawiera parametry, zostaną one skonfigurowane na tej karcie. Ponieważ w obszarze Inspekcja maszyn wirtualnych, które nie korzystają z dysków zarządzanych, nie ma parametrów, wybierz pozycję Dalej w dolnej części strony lub kartę Korygowanie w górnej części strony, aby przejść do następnego segmentu kreatora przypisania.

  12. Pozostaw pole Utwórz tożsamość zarządzaną niezaznaczone. To pole musi być zaznaczone, gdy zasady lub inicjatywa zawierają zasady z efektem deployIfNotExists lub modify. Ponieważ w przypadku zasad stosowanych na potrzeby tego przewodnika Szybki start tak nie jest, pozostaw to pole puste. Aby uzyskać więcej informacji, zobacz tematy dotyczące tożsamości zarządzanych i sposobu działania zabezpieczeń w zakresie korygowania.

  13. Wybierz pozycję Dalej w dolnej części strony lub kartę Komunikaty o niezgodności w górnej części strony, aby przejść do następnego segmentu kreatora przypisania.

  14. Ustaw komunikat o niezgodności na Wartość Maszyny wirtualne powinny używać dysku zarządzanego. Ten niestandardowy komunikat jest wyświetlany w przypadku odmowy zasobu lub niezgodnych zasobów podczas regularnej oceny.

  15. Wybierz pozycję Dalej w dolnej części strony lub kartę Przeglądanie i tworzenie w górnej części strony, aby przejść do następnego segmentu kreatora przypisania.

  16. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Teraz możesz zidentyfikować niezgodne zasoby, aby zrozumieć stan zgodności środowiska.

Identyfikowanie niezgodnych zasobów

Wybierz pozycję Zgodność w lewej części strony. Znajdź utworzone przypisanie zasad Audit VMs that do not use managed disks (Przeprowadź inspekcję maszyn wirtualnych, które nie używają dysków zarządzanych).

Zrzut ekranu przedstawiający szczegóły zgodności na stronie Zgodność zasad.

Jeśli istnieją jakiekolwiek zasoby niezgodne z nowym przypisaniem, zostaną one wyświetlone w obszarze Niezgodne zasoby.

Jeśli warunek zostanie oceniony dla istniejących zasobów i okaże się prawdziwy, zasoby te zostaną oznaczone jako niezgodne z zasadami. W poniższej tabeli przedstawiono sposób, w jaki różne akcje dotyczące zasad wpływają na ocenę warunku na potrzeby wynikowego stanu zgodności. Mimo że logika oceny nie jest wyświetlana w Azure Portal, wyświetlane są wyniki stanu zgodności. Wynik stanu zgodności może być zgodny lub niezgodny.

Stan zasobu Efekt Ocena zasad Stan zgodności
Nowa czy zaktualizowana? Audit, Modify, AuditIfNotExist Prawda Niezgodne
Nowa czy zaktualizowana? Audit, Modify, AuditIfNotExist Fałsz Zgodny
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist Prawda Niezgodne
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist Fałsz Zgodny

Uwaga

Efekty DeployIfNotExist i AuditIfNotExist wymagają, aby instrukcja IF ma wartość TRUE, a warunek istnienia był wartością FALSE, aby nie był zgodny. W przypadku wartości TRUE warunek IF wyzwala ocenę warunku istnienia dla powiązanych zasobów.

Czyszczenie zasobów

Aby usunąć utworzone przypisanie, wykonaj następujące kroki:

  1. Wybierz pozycję Zgodność (lub Przypisania) w lewej części strony usługi Azure Policy i znajdź utworzone przypisanie zasad Audit VMs that do not use managed disks (Przeprowadź inspekcję maszyn wirtualnych, które nie używają dysków zarządzanych).

  2. Kliknij prawym przyciskiem myszy przypisanie zasad Audit VMs that do not use managed disks (Przejmij maszyny wirtualne, które nie korzystają z dysków zarządzanych), a następnie wybierz polecenie Usuń przypisanie.

    Zrzut ekranu przedstawiający usuwanie przypisania ze strony Zgodność przy użyciu menu kontekstowego.

Następne kroki

W tym przewodniku Szybki start przypisano definicję zasad do zakresu i oceniono raport jego zgodności. Definicja zasady zawiera sprawdzenie, czy wszystkie zasoby w ramach zakresu są zgodne, oraz określenie niezgodnych zasobów.

Aby dowiedzieć się więcej na temat przypisywania zasad w celu sprawdzenia zgodności nowych zasobów, przejdź do samouczka: