Samouczek: nie zezwalaj na typy zasobów w środowisku chmury

  • Artykuł

Jednym z popularnych celów ładu w chmurze jest ograniczenie typów zasobów dozwolonych w środowisku. Firmy mają wiele motywacji związanych z ograniczeniami typu zasobów. Na przykład typy zasobów mogą być kosztowne lub mogą być zgodne ze standardami i strategiami biznesowymi. Zamiast używać wielu zasad dla poszczególnych typów zasobów, usługa Azure Policy oferuje dwie wbudowane zasady, aby osiągnąć ten cel:

Nazwisko
(Azure Portal)		 opis Efekt Wersja
(GitHub)
Allowed resource types (Dozwolone typy zasobów) Te zasady umożliwiają określenie typów zasobów, które organizacja może wdrożyć. Te zasady mają wpływ tylko na typy zasobów, które obsługują tagi i lokalizację. Aby ograniczyć wszystkie zasoby, zduplikuj te zasady i zmień tryb na "Wszystkie". odmowa 1.0.0
Not allowed resource types (Niedozwolone typy zasobów) Ogranicz typy zasobów, które można wdrożyć w danym środowisku. Ograniczenie typów zasobów może zmniejszyć złożoność i powierzchnię ataków środowiska, a jednocześnie pomóc w zarządzaniu kosztami. Wyniki zgodności są wyświetlane tylko dla niezgodnych zasobów. Inspekcja, Odmowa, Wyłączone 2.0.0

W tym samouczku zastosowano zasady Niedozwolone typy zasobów i zarządzasz typami zasobów na dużą skalę za pośrednictwem witryny Microsoft Azure Portal.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Przypisywanie definicji zasad

Pierwszym krokiem wyłączania typów zasobów jest przypisanie definicji zasad Niedozwolone typy zasobów.

  1. Przejdź do obszaru Niedozwolone typy zasobów w witrynie Azure Portal.

    Screenshot of definition details screen for 'Not allowed resource types' policy.

  2. Wybierz przycisk Przypisz w górnej części strony.

  3. Na karcie Podstawy ustaw pozycję Zakres, wybierając wielokropek i wybierając grupę zarządzania, subskrypcję lub grupę zasobów. Upewnij się, że wybrany zakres ma co najmniej jeden podzakres. Następnie kliknij przycisk Wybierz w dolnej części strony Zakres.

    W tym przykładzie użyto subskrypcji Contoso.

    Uwaga

    Jeśli przypiszesz tę definicję zasad do głównego zakresu grupy zarządzania, portal może wykryć niedozwolone typy zasobów i wyłączyć je w widoku Wszystkie usługi , aby użytkownicy portalu wiedzieli o ograniczeniu przed podjęciem próby wdrożenia niedozwolonego zasobu.

  4. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  5. Nazwa przypisania jest wypełniana automatycznie wybraną nazwą definicji zasad, ale można ją zmienić. Możesz również dodać opcjonalny opis , aby podać szczegółowe informacje o tym przypisaniu zasad.

  6. Pozostaw wymuszanie zasad jako Włączone. Po wyłączeniu to ustawienie umożliwia testowanie wyników zasad bez wyzwalania efektu. Aby uzyskać więcej informacji, zobacz tryb wymuszania.

  7. Pole Przypisane przez jest wypełniane automatycznie w zależności od tego, kto jest zalogowany. To pole jest opcjonalne, dzięki czemu można wprowadzić wartości niestandardowe.

  8. Wybierz kartę Parametry w górnej części kreatora. Ten samouczek pomija kartę Zaawansowane .

  9. Dla parametru Niedozwolone typy zasobów użyj listy rozwijanej, aby wyszukać i wybrać typy zasobów, które nie powinny być dozwolone w środowisku chmury.

  10. Ta definicja zasad nie ma modify efektów lub deployIfNotExists , więc nie obsługuje zadań korygowania. Na potrzeby tego samouczka pomiń kartę Korygowanie .

  11. Wybierz kartę Komunikaty o niezgodności w górnej części kreatora.

  12. Ustaw komunikat o niezgodności na Wartość Ten typ zasobu nie jest dozwolony. Ten komunikat niestandardowy jest wyświetlany, gdy zasób zostanie odrzucony lub nie jest zgodny z zasobami podczas regularnej oceny.

  13. Wybierz kartę Przeglądanie i tworzenie w górnej części kreatora.

  14. Przejrzyj wybrane opcje, a następnie wybierz pozycję Utwórz w dolnej części strony.

Wyświetlanie wyłączonych typów zasobów w witrynie Azure Portal

Ten krok ma zastosowanie tylko wtedy, gdy zasady zostały przypisane w głównym zakresie grupy zarządzania.

Po przypisaniu wbudowanej definicji zasad przejdź do pozycji Wszystkie usługi. Witryna Azure Portal zna niedozwolone typy zasobów z tego przypisania zasad i wyłącza je na stronie Wszystkie usługi . Opcja Utwórz jest niedostępna dla wyłączonych typów zasobów.

Uwaga

Jeśli przypiszesz tę definicję zasad do głównej grupy zarządzania, użytkownicy zobaczą następujące powiadomienie po pierwszym zalogowaniu się lub jeśli zasady zostaną zmienione po zalogowaniu:

Zasady zmienione przez administratora Administrator wprowadził zmiany w zasadach dla twojego konta. Zaleca się odświeżenie portalu w celu korzystania ze zaktualizowanych zasad.

Screenshot of disallowed resources in All Services blade.

Tworzenie wykluczenia

Teraz załóżmy, że jeden podzakres powinien mieć wyłączone typy zasobów przez te zasady. Utwórzmy wykluczenie w tym zakresie, aby w przeciwnym razie można było tam wdrożyć ograniczone zasoby.

Ostrzeżenie

Jeśli przypiszesz tę definicję zasad do głównego zakresu grupy zarządzania, witryna Azure Portal nie będzie mogła wykryć wykluczeń w zakresach niższego poziomu. Zasoby niedozwolone przez przypisanie zasad będą wyświetlane jako wyłączone z listy Wszystkie usługi , a opcja Utwórz jest niedostępna. Można jednak tworzyć zasoby w zakresie wykluczonych z klientami, takimi jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub szablony usługi Azure Resource Manager.

  1. W lewej części strony usługi Azure Policy wybierz opcję Przypisania w obszarze Tworzenie.

  2. Wyszukaj utworzone przypisanie zasad.

  3. Wybierz przycisk Utwórz wykluczenie w górnej części strony.

  4. Na karcie Podstawy wybierz zakres Wykluczenia, który jest podzakresem, który powinien mieć zasoby ograniczone przez to przypisanie zasad.

  5. Wypełnij pole Nazwa wykluczenia z żądanym tekstem i pozostaw kategorię Wykluczenie jako wartość domyślną Zwolnienia. Nie przełączaj przełącznika dla ustawienia Wygasanie wykluczenia, ponieważ to wykluczenie nie zostanie ustawione na wygaśnięcie. Opcjonalnie dodaj opis wykluczenia i wybierz pozycję Przejrzyj i utwórz.

  6. Ten samouczek pomija kartę Zaawansowane . Na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

  7. Aby wyświetlić wykluczenie, wybierz pozycję Wykluczenia w obszarze Tworzenie w lewej części strony usługi Azure Policy.

Teraz podzakres może mieć typy zasobów niedozwolone przez zasady.

Czyszczenie zasobów

Jeśli skończysz pracę z zasobami z tego samouczka, wykonaj następujące kroki, aby usunąć dowolne z przypisań zasad lub definicji utworzonych w tym samouczku:

  1. Wybierz pozycję Definicje (lub Przypisania, jeśli próbujesz usunąć przypisanie) w obszarze Tworzenie w lewej części strony usługi Azure Policy.

  2. Wyszukaj nowo utworzoną definicję inicjatywy lub zasad (albo przypisanie), którą chcesz usunąć.

  3. Kliknij prawym przyciskiem myszy wiersz albo wybierz wielokropek na końcu definicji lub przypisania, a następnie wybierz pozycję Usuń definicję (lub Usuń przypisanie).

Wykonaj przegląd

W tym samouczku pomyślnie wykonano następujące czynności:

  • Przypisano wbudowane zasady Niedozwolone typy zasobów w celu odmowy tworzenia niedozwolonych typów zasobów
  • Utworzono wykluczenie dla tego przypisania zasad w podzakresie

W przypadku tych wbudowanych zasad określono typy zasobów, które nie są dozwolone. Alternatywną, bardziej restrykcyjną metodą jest określenie typów zasobów, które są dozwolone przy użyciu zasad wbudowanych dozwolonych typów zasobów.

Uwaga

Wszystkie usługi w witrynie Azure Portal będą wyłączać zasoby, które nie zostały określone w dozwolonych zasadach typu zasobów, jeśli mode ustawiono All wartość , a zasady są przypisywane w głównej grupie zarządzania. Jest to spowodowane tym, że sprawdza wszystkie typy zasobów niezależnie od tags i locations. Jeśli chcesz, aby portal miał to zachowanie, zduplikuj wbudowane zasady Dozwolone typy zasobów i zmień ją mode z Indexed na All, a następnie przypisz ją do głównego zakresu grupy zarządzania.

Następne kroki

Aby dowiedzieć się więcej o strukturach definicji zasad, przypisań i wykluczeń, zapoznaj się z następującymi artykułami:

Strukturadefinicji usługi Azure Policy — strukturaprzypisania usługi Azure Policy — struktura wykluczania usługi Azure Policy

Aby wyświetlić pełną listę wbudowanych przykładów zasad, zobacz ten artykuł:

Struktura definicji zasad platformy Azure