Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

Zrozumienie sposobu tworzenia zasad i zarządzania nimi na platformie Azure jest ważne w przypadku zachowania zgodności ze standardami firmy i umowami na poziomie usług. Z tego samouczka dowiesz się, jak za pomocą usługi Azure Policy wykonywać niektóre bardziej typowe zadania związane z tworzeniem i przypisywaniem zasad oraz zarządzaniem nimi w całej organizacji, na przykład:

  • Przypisywanie zasad w celu wymuszania warunku dla zasobów tworzonych w przyszłości
  • Tworzenie i przypisywanie definicji inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązywanie problemu w przypadku niezgodnego lub odrzuconego zasobu
  • Implementowanie nowych zasad w całej organizacji

Przejrzyj artykuły Szybki start, aby dowiedzieć się, jak przypisać zasady w celu identyfikowania bieżącego stanu zgodności istniejących zasobów.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Przypisywanie zasad

Pierwszym krokiem w celu wymuszenia zgodności za pomocą usługi Azure Policy jest przypisanie definicji zasad. Definicja zasad określa, w jakim przypadku zasady zostaną wymuszone oraz jaki efekt przyniosą. W tym przykładzie przypisz wbudowaną definicję zasad o nazwie Dziedzicz tag z grupy zasobów, jeśli nie chcesz dodać określonego tagu z jego wartością z nadrzędnej grupy zasobów do nowych lub zaktualizowanych zasobów bez tagu.

  1. Przejdź do Azure Portal, aby przypisać zasady. Wyszukaj i wybierz pozycję Zasady.

    Zrzut ekranu przedstawiający wyszukiwanie zasad na pasku wyszukiwania.

  2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy. Przypisanie to zasady, które zostały przypisane do określonego zakresu.

    Zrzut ekranu przedstawiający wybieranie węzła Przypisania na stronie Przegląd zasad.

  3. Wybierz pozycję Przypisz zasady w górnej części strony Zasady — Przypisania.

    Zrzut ekranu przedstawiający wybieranie przycisku "Przypisz zasady" na stronie Przypisania.

  4. Na stronie Przypisywanie zasad i karcie Podstawowe wybierz pozycję Zakres, wybierając wielokropek i wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, jakie zasoby lub grupy zasobów są wymuszane w ramach przypisania zasad. Następnie wybierz pozycję Wybierz w dolnej części strony Zakres.

    W tym przykładzie użyto subskrypcji Contoso. Twoja subskrypcja będzie inna.

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Możesz filtrować definicję zasad Typ do wbudowanej, aby wyświetlić wszystkie i odczytać ich opisy.

  7. Wybierz pozycję Dziedzicz tag z grupy zasobów, jeśli brakuje . Jeśli nie możesz znaleźć go od razu, wpisz dziedziczący tag w polu wyszukiwania, a następnie naciśnij klawisz ENTER lub wybierz z pola wyszukiwania. Wybierz pozycję Wybierz w dolnej części strony Dostępne definicje, gdy znajdziesz i wybierzesz definicję zasad.

    Zrzut ekranu przedstawiający filtr wyszukiwania podczas wybierania definicji zasad.

  8. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw pozostawienie właściwości Dziedzicz tag z grupy zasobów, jeśli brakuje . Można również dodać opcjonalny Opis. Opis zawiera szczegóły dotyczące danego przypisania zasad.

  9. Dla opcji Wymuszanie zasad pozostaw ustawienie Włączone. Po wyłączeniu to ustawienie umożliwia testowanie wyniku zasad bez wyzwalania efektu. Aby uzyskać więcej informacji, zobacz tryb wymuszania.

  10. Pole Przypisane przez jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  11. Wybierz kartę Parametry w górnej części kreatora.

  12. W nazwie tagu wprowadź Environment.

  13. Wybierz kartę Korygowanie w górnej części kreatora.

  14. Pozostaw pole Utwórz zadanie korygowania niezaznaczone. To pole umożliwia utworzenie zadania w celu zmiany istniejących zasobów oprócz nowych lub zaktualizowanych zasobów. Aby uzyskać więcej informacji, zobacz korygowanie zasobów.

  15. Tworzenie tożsamości zarządzanej jest automatycznie sprawdzane, ponieważ ta definicja zasad używa efektu modify. Uprawnienia są automatycznie ustawiane na współautora na podstawie definicji zasad. Aby uzyskać więcej informacji, zobacz tematy dotyczące tożsamości zarządzanych i sposobu działania zabezpieczeń w zakresie korygowania.

  16. Wybierz kartę Komunikaty o niezgodności w górnej części kreatora.

  17. Ustaw komunikat o niezgodności na wartość Ten zasób nie ma wymaganego tagu. Ten niestandardowy komunikat jest wyświetlany w przypadku odmowy zasobu lub niezgodnych zasobów podczas regularnej oceny.

  18. Wybierz kartę Przeglądanie + tworzenie w górnej części kreatora.

  19. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Implementowanie nowych zasad niestandardowych

Teraz, gdy wbudowana definicja zasad została przypisana, możesz wykonywać dalsze działania w ramach usługi Azure Policy. Następnie utwórz nowe zasady niestandardowe, aby zaoszczędzić koszty, w celu sprawdzania, czy maszyny wirtualne utworzone w twoim środowisku nie mogą być w serii G. Dzięki temu za każdym razem, gdy użytkownik w organizacji spróbuje utworzyć maszynę wirtualną w serii G, żądanie zostanie odrzucone.

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w obszarze Grupa tworzenia.

  2. Wybierz + Definicja zasad w górnej części strony. Ten przycisk powoduje otwarcie strony Definicja zasad.

  3. Wprowadź następujące informacje:

    • Grupa zarządzania lub subskrypcji, w której zapisano definicję zasad. Wybierz, używając wielokropka w polu Lokalizacja definicji.

      Uwaga

      Jeśli planujesz zastosowanie tej definicji zasad w wielu subskrypcjach, lokalizacja musi być grupą zarządzania zawierającą subskrypcje, do których zostaną przypisane zasady. To samo dotyczy definicji inicjatywy.

    • Nazwa definicji zasad — wymagaj, aby jednostki SKU maszyn wirtualnych nie były w serii G

    • Opis działania definicji zasad — ta definicja zasad wymusza, aby wszystkie maszyny wirtualne utworzone w tym zakresie miały jednostki SKU inne niż seria G w celu obniżenia kosztów.

    • Wybierz jedną z istniejących opcji (np. Compute) lub utwórz nową kategorię dla tej definicji zasad.

    • Skopiuj poniższy kod JSON, a następnie zaktualizuj go zgodnie ze swoimi potrzebami przy użyciu następujących danych:

      • Parametry zasad.
      • Reguły/warunki zasad, w tym przypadku — rozmiar SKU maszyny wirtualnej równy serii G
      • Efekt zasad, w tym przypadku — Odmów.

    Oto, jak powinien wyglądać kod JSON. Wklej poprawiony kod do witryny Azure Portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    Właściwość pola w regułę zasad musi być obsługiwaną wartością. Pełna lista wartości znajduje się w polach struktury definicji zasad. Przykładem aliasu może być "Microsoft.Compute/VirtualMachines/Size".

    Aby wyświetlić więcej Azure Policy przykładów, zobacz Azure Policy przykłady.

  4. Wybierz pozycję Zapisz.

Tworzenie definicji zasad za pomocą interfejsu API REST

Zasady można utworzyć za pomocą interfejsu API REST na Azure Policy definicje. Interfejs API REST umożliwia tworzenie i usuwanie definicji zasad oraz uzyskiwanie informacji o istniejących definicjach. Aby utworzyć definicję zasad, skorzystaj z następującego przykładu:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Dołącz treść żądania podobną do poniższego przykładu:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Tworzenie definicji zasad za pomocą programu PowerShell

Przed przystąpieniem do pracy z przykładem programu PowerShell upewnij się, że zainstalowano najnowszą wersję modułu Azure PowerShell Az.

Definicję zasad można utworzyć przy użyciu polecenia cmdlet New-AzPolicyDefinition.

Aby utworzyć definicję zasad na podstawie pliku, przekaż ścieżkę do tego pliku. W przypadku pliku zewnętrznego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

W przypadku pliku lokalnego skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Dane wyjściowe są zapisywane w obiekcie $definition, który jest używany podczas przypisywania zasad. Poniższy przykład tworzy definicję zasad, która obejmuje parametry:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Wyświetlanie definicji zasad przy użyciu programu PowerShell

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

Get-AzPolicyDefinition

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Tworzenie definicji zasad za pomocą wiersza polecenia platformy Azure

Definicję zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za pomocą az policy definition polecenia . Aby utworzyć definicję zasad z wbudowaną regułą, skorzystaj z następującego przykładu:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Wyświetlanie definicji zasad przy użyciu interfejsu wiersza polecenia platformy Azure

Aby wyświetlić wszystkie definicje zasad w ramach subskrypcji, użyj następującego polecenia:

az policy definition list

Zwraca ono wszystkie dostępne definicje zasad, w tym wbudowane zasady. Poszczególne zasady są zwracane w następującym formacie:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Tworzenie i przypisywanie definicji inicjatywy

Za pomocą definicji inicjatywy możesz grupować kilka definicji zasad w celu osiągnięcia jednego ogólnego celu. Inicjatywa ocenia zasoby w zakresie przypisania pod kątem zgodności z uwzględnionymi zasadami. Aby uzyskać więcej informacji na temat definicji inicjatyw, zobacz Omówienie usługi Azure Policy.

Tworzenie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

    Zrzut ekranu przedstawiający stronę Definicje w grupie Tworzenie.

  2. Wybierz pozycję + Definicja inicjatywy w górnej części strony, aby otworzyć kreatora definicji inicjatywy.

    Zrzut ekranu przedstawiający stronę definicji inicjatywy i właściwości do ustawienia.

  3. Użyj wielokropka Lokalizacja inicjatywy, aby wybrać grupę zarządzania lub subskrypcję do przechowywania definicji. Jeśli poprzednia strona była w zakresie pojedynczej grupy zarządzania lub subskrypcji, lokalizacja inicjatywy jest wypełniana automatycznie.

  4. Wprowadź wartości w polach Nazwa i Opis inicjatywy.

    W tym przykładzie zapewniasz, że zasoby są zgodne z definicjami zasad w zakresie uzyskiwania bezpieczeństwa. Dla tej inicjatywy podaj nazwę Uzyskiwanie bezpieczeństwa i opis: Ta inicjatywa została utworzona w celu obsługi wszystkich definicji zasad skojarzonych z zabezpieczaniem zasobów.

  5. W polu Kategoria wybierz jedną z istniejących opcji lub utwórz nową kategorię.

  6. Ustaw wersję dla inicjatywy, na przykład 1.0.

    Uwaga

    Wartość wersji jest ściśle metadanymi i nie jest używana do aktualizacji ani żadnego procesu Azure Policy service.

  7. Wybierz pozycję Dalej w dolnej części strony lub kartę Zasady w górnej części kreatora.

  8. Wybierz przycisk Dodaj definicje zasad i przejrzyj listę. Wybierz definicje zasad, które chcesz dodać do tej inicjatywy. W przypadku inicjatywy Uzyskiwanie bezpieczeństwa dodaj następujące wbudowane definicje zasad, zaznaczając pole wyboru obok definicji zasad:

    • Dozwolone lokalizacje
    • Monitorowanie brakujących Endpoint Protection w Azure Security Center
    • Maszyny wirtualne, które nie mają połączenia z Internetem, powinny być chronione za pomocą sieciowych grup zabezpieczeń
    • Azure Backup należy włączyć dla Virtual Machines
    • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
    • Dodawanie lub zastępowanie tagu zasobów (dodaj tę definicję zasad dwukrotnie)

    Po wybraniu każdej definicji zasad z listy wybierz pozycję Dodaj w dolnej części listy. Ponieważ jest ona dodawana dwukrotnie, każda z definicji zasad Dodaj lub zastąp tag w definicjach zasad zasobów otrzymuje inny identyfikator odwołania.

    Zrzut ekranu przedstawiający wybrane definicje zasad z ich identyfikatorem odwołania i grupą na stronie definicji inicjatywy.

    Uwaga

    Wybrane definicje zasad można dodać do grup, wybierając co najmniej jedną dodaną definicję i wybierając pozycję Dodaj wybrane zasady do grupy. Grupa musi istnieć jako pierwsza i można ją utworzyć na karcie Grupy kreatora.

  9. Wybierz pozycję Dalej w dolnej części strony lub kartę Grupy w górnej części kreatora. Na tej karcie można dodawać nowe grupy. W tym samouczku nie dodajemy żadnych grup.

  10. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry inicjatywy w górnej części kreatora. Jeśli chcemy, aby parametr istniał w inicjatywie w celu przekazywania do co najmniej jednej dołączonej definicji zasad, parametr jest zdefiniowany w tym miejscu, a następnie używany na karcie Parametry zasad. W tym samouczku nie dodajemy żadnych parametrów inicjatywy.

    Uwaga

    Po zapisaniu w definicji inicjatywy parametrów inicjatywy nie można usunąć z inicjatywy. Jeśli parametr inicjatywy nie jest już potrzebny, usuń go z użycia przez jakiekolwiek parametry definicji zasad.

  11. Wybierz pozycję Dalej w dolnej części strony lub kartę Parametry zasad w górnej części kreatora.

  12. Definicje zasad dodane do inicjatywy, które mają parametry, są wyświetlane w siatce. Typem wartości może być "Wartość domyślna", "Ustaw wartość" lub "Użyj parametru inicjatywy". Jeśli wybrano wartość "Ustaw wartość", powiązana wartość zostanie wprowadzona w obszarze Wartości. Jeśli parametr w definicji zasad ma listę dozwolonych wartości, pole wprowadzania jest selektorem listy rozwijanej. Jeśli wybrano pozycję "Użyj parametru inicjatywy", zostanie wyświetlona lista rozwijana z nazwami parametrów inicjatywy utworzonymi na karcie Parametry inicjatywy.

    Zrzut ekranu przedstawiający opcje dozwolonych wartości dla parametru definicji dozwolonych lokalizacji na karcie parametrów zasad na stronie definicji inicjatywy.

    Uwaga

    W przypadku niektórych parametrów strongType listy wartości nie można określić automatycznie. W takich przypadkach z prawej strony wiersza parametru jest wyświetlany symbol wielokropka. Wybranie go spowoduje otwarcie strony "Zakres parametrów ( < nazwa > parametru )". Na tej stronie wybierz subskrypcję, która ma zostać użyta do podania opcji wartości. Ten zakres parametru jest używany wyłącznie w trakcie tworzenia definicji inicjatywy i nie ma żadnego wpływu na ocenę zasad lub zakres inicjatywy podczas przypisania.

    Ustaw typ wartości "Dozwolone lokalizacje" na wartość "Ustaw wartość", a następnie wybierz pozycję "Wschodnie usa 2" z listy rozwijanej. W przypadku dwóch wystąpień definicji zasad Dodaj lub zastąp tag w definicjach zasad zasobów ustaw parametry Nazwy tagu na "Env" i "CostCenter", a parametry Wartość tagu na "Test" i "Laboratorium", jak pokazano poniżej. Dla pozostałych pozostaw wartość "Wartość domyślna". Użycie tej samej definicji dwa razy w inicjatywie, ale z różnymi parametrami, powoduje dodanie lub zastąpienie tagu "Env" wartością "Test" i tagiem "CostCenter" wartością "Lab" w zasobach w zakresie przypisania.

    Zrzut ekranu przedstawiający wprowadzone opcje dozwolonych wartości dla parametru definicji dozwolonych lokalizacji i wartości dla obu zestawów parametrów tagu na karcie parametrów zasad na stronie definicji inicjatywy.

  13. Wybierz pozycję Przejrzyj i utwórz w dolnej części strony lub w górnej części kreatora.

  14. Przejrzyj ustawienia i wybierz pozycję Utwórz.

Tworzenie definicji inicjatywy zasad za pomocą interfejsu wiersza polecenia platformy Azure

Definicję inicjatywy zasad można utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure za pomocą az policy set-definition polecenia . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, skorzystaj z następującego przykładu:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Tworzenie definicji inicjatywy zasad za pomocą Azure PowerShell

Definicję inicjatywy zasad można utworzyć przy użyciu Azure PowerShell polecenia New-AzPolicySetDefinition cmdlet . Aby utworzyć definicję inicjatywy zasad z istniejącą definicją zasad, użyj następującego pliku definicji inicjatywy zasad jako VMPolicySet.json :

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Przypisywanie definicji inicjatywy

  1. W lewej części strony usługi Azure Policy wybierz opcję Definicje w obszarze Tworzenie.

  2. Zlokalizuj poprzednio utworzoną inicjatywę Uzyskiwanie bezpieczeństwa i wybierz ją. Wybierz polecenie Przypisz w górnej części strony, aby otworzyć stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę.

    Zrzut ekranu przedstawiający przycisk &quot;Przypisz&quot; na stronie definicji inicjatywy.

    Możesz również zaznaczyć i przytrzymać (lub kliknąć prawym przyciskiem myszy) wybrany wiersz lub wybrać wielokropek na końcu wiersza dla menu kontekstowego. Następnie wybierz pozycję Przypisz.

    Zrzut ekranu przedstawiający menu kontekstowe dla inicjatywy w celu wybrania funkcji Przypisz.

  3. Wypełnij stronę Uzyskiwanie bezpieczeństwa: Przypisz inicjatywę, wprowadzając następujące przykładowe informacje. Możesz podać własne informacje.

    • Zakres: grupa zarządzania lub subskrypcja, dla której wcześniej została zapisana inicjatywa, staje się wartością domyślną. Można zmienić zakres, aby przypisać inicjatywę do subskrypcji lub grupy zasobów w lokalizacji zapisywania.
    • Wyjątki: skonfiguruj wszystkie zasoby w zakresie, aby zapobiec zastosowaniu wobec nich przypisania inicjatywy.
    • Definicja inicjatywy i Nazwa przypisania: „Uzyskiwanie bezpieczeństwa” (wypełniane wstępnie jako nazwa przypisywanej inicjatywy).
    • Opis: to przypisanie inicjatywy jest dostosowane w celu wymuszenia tej grupy definicji zasad.
    • Wymuszanie zasad: pozostaw wartość domyślną Włączone.
    • Przypisane przez: jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.
  4. Wybierz kartę Parametry w górnej części kreatora. Jeśli parametr inicjatywy został skonfigurowany w poprzednich krokach, ustaw wartość w tym miejscu.

  5. Wybierz kartę Korygowanie w górnej części kreatora. Pozostaw pole Utwórz tożsamość zarządzaną niezaznaczone. To pole musi być zaznaczone, gdy przypisywane zasady lub inicjatywa zawierają zasady z właściwością deployIfNotExists lub modyfikują efekty. Ponieważ w przypadku zasad stosowanych na potrzeby tego samouczka tak nie jest, pozostaw to pole puste. Aby uzyskać więcej informacji, zobacz tematy dotyczące tożsamości zarządzanych i sposobu działania zabezpieczeń w zakresie korygowania.

  6. Wybierz kartę Przeglądanie + tworzenie w górnej części kreatora.

  7. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Sprawdzanie zgodności początkowej

  1. Wybierz pozycję Zgodność w lewej części strony usługi Azure Policy.

  2. Znajdź inicjatywę Uzyskiwanie bezpieczeństwa. Jej Stan zgodności prawdopodobnie nadal ma wartość Nie uruchomiono. Wybierz inicjatywę, aby uzyskać pełne szczegóły przypisania.

    Zrzut ekranu przedstawiający stronę Zgodność inicjatywy z ocenami przypisania w stanie Nie uruchomiliśmy.

  3. Po ukończeniu przypisania inicjatywy strona zgodności jest aktualizowana — Stan zgodności zmienia wartość na Zgodne.

    Zrzut ekranu przedstawiający stronę Zgodność inicjatywy z ukończoną oceną przypisania i stanem Zgodne.

  4. Wybranie dowolnych zasad na stronie zgodności inicjatywy powoduje otwarcie strony szczegółów zgodności dla tych zasad. Ta strona zawiera szczegółowe informacje dotyczące zgodności na poziomie zasobów.

Usuwanie niezgodnego lub odrzuconego zasobu z zakresu z wykluczeniem

Po przypisaniu inicjatywy zasad wymagającej określonej lokalizacji każdy zasób utworzony w innej lokalizacji zostanie odrzucony. W tej sekcji omówiono rozwiązywanie problemu z odmową utworzenia zasobu przez utworzenie wykluczenia dla pojedynczej grupy zasobów. Wykluczenie zapobiega wymuszaniu zasad (lub inicjatywy) dla tej grupy zasobów. W poniższym przykładzie dowolna lokalizacja jest dozwolona w wykluczonej grupie zasobów. Wykluczenie może dotyczyć subskrypcji, grupy zasobów lub pojedynczego zasobu.

Uwaga

Można również pominąć ocenę zasobu, aby pominąć wyłączenie zasad. Aby uzyskać więcej informacji, zobacz Zakres w Azure Policy.

Wdrożenia uniemożliwione przez przypisane zasady lub inicjatywę można wyświetlić w grupie zasobów docelowej wdrożenia: wybierz pozycję Wdrożenia w lewej części strony, a następnie wybierz nazwę wdrożenia wdrożenia, które zakończyło się niepowodzeniem. Zasób, do którego odmówiono dostępu, jest wyświetlany jako Zabroniony. Aby określić zasady lub inicjatywę i przypisanie, które odrzuciły zasób, wybierz pozycję Niepowodzenie. Kliknij tutaj, aby uzyskać szczegółowe > na stronie Przegląd wdrażania. W prawej części strony wyświetli się okno z informacjami o błędzie. W obszarze Szczegóły błędu są widoczne identyfikatory GUID powiązanych obiektów zasad.

Zrzut ekranu przedstawiający wdrożenie, które zakończyło się niepowodzeniem, które zostało odrzucone przez przypisanie zasad.

Na Azure Policy wybierz pozycję Zgodność w lewej części strony i wybierz inicjatywę Uzyskaj bezpieczeństwo zasad. Na tej stronie zwiększa się liczba odmów dla zablokowanych zasobów. Na karcie Zdarzenia znajdują się szczegółowe informacje o tym, kto próbował utworzyć lub wdrożyć zasób, który został odrzucony przez definicję zasad.

Zrzut ekranu przedstawiający kartę Zdarzenia i szczegóły zdarzenia zasad na stronie Zgodność inicjatywy.

W tym przykładzie Trent Baker, jeden z doświadczonych specjalistów firmy Contoso w dziedzinie wirtualizacji, wykonywał swoją pracę. Musimy przyznać Trentowi miejsce na wyjątek. Utworzono nową grupę zasobów LocationsExcluded i następnie przyznaliśmy jej wyjątek od tego przypisania zasad.

Aktualizacja przypisania z wykluczeniem

  1. W lewej części strony usługi Azure Policy wybierz opcję Przypisania w obszarze Tworzenie.

  2. Przejrzyj wszystkie przypisania zasad i otwórz przypisanie zasad Uzyskaj bezpieczeństwo.

  3. Ustaw wykluczenie, wybierając wielokropek i wybierając grupę zasobów do wykluczenia LocationsExcluded w tym przykładzie. Wybierz pozycję Dodaj do wybranego zakresu, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający opcję Wykluczenia na stronie Przypisanie inicjatywy w celu dodania wykluczonej grupy zasobów do przypisania zasad.

    Uwaga

    W zależności od definicji zasad i jej wpływu wykluczenie może zostać również przyznane określonym zasobom w grupie zasobów w zakresie przypisania. Ponieważ efekt Odmów został użyty w tym samouczku, ustawienie wykluczenia dla określonego zasobu, który już istnieje, nie ma sensu.

  4. Wybierz pozycję Przejrzyj i zapisz, a następnie wybierz pozycję Zapisz.

W tej sekcji rozwiązano problem z odmową żądania przez utworzenie wykluczenia pojedynczej grupy zasobów.

Czyszczenie zasobów

Jeśli praca z zasobami z tego samouczka została już wykonana, użyj następujących kroków, aby usunąć dowolne utworzone powyżej przypisania zasad lub definicje:

  1. Wybierz pozycję Definicje (lub Przypisania, jeśli próbujesz usunąć przypisanie) w obszarze Tworzenie w lewej części strony usługi Azure Policy.

  2. Wyszukaj nowo utworzoną definicję inicjatywy lub zasad (albo przypisanie), którą chcesz usunąć.

  3. Kliknij prawym przyciskiem myszy wiersz albo wybierz wielokropek na końcu definicji lub przypisania, a następnie wybierz pozycję Usuń definicję (lub Usuń przypisanie).

Przegląd

W tym samouczku pomyślnie wykonano następujące czynności:

  • Przypisano zasady w celu wymuszania warunku dla zasobów tworzonych w przyszłości
  • Utworzono i przypisano definicję inicjatywy w celu śledzenia zgodności dla wielu zasobów
  • Rozwiązano problem w przypadku niezgodnego lub odrzuconego zasobu
  • Zaimplementowano nowe zasady w całej organizacji

Następne kroki

Aby dowiedzieć się więcej o strukturach definicji zasad, zapoznaj się z artykułem: