Tutorial: Criar e gerir políticas para impor o cumprimento

Compreender como criar e gerir políticas em Azure é importante para se manter em conformidade com os seus padrões corporativos e acordos de nível de serviço. Neste tutorial, vai aprender a utilizar o Azure Policy para realizar algumas das tarefas mais comuns relacionadas com a criação, atribuição e gestão de políticas na sua organização, tais como:

  • Atribuir uma política para impor uma condição para os recursos que criar no futuro
  • Criar e atribuir uma definição de iniciativa para controlar a conformidade de vários recursos
  • Resolver um recurso negado ou em não conformidade
  • Implementar uma nova política numa organização

Se gostaria de atribuir uma política para identificar o estado atual de conformidade dos seus recursos existentes, os artigos de início rápido mostram como fazê-lo.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Atribuir uma política

O primeiro passo para impor a conformidade com o Azure Policy consiste em atribuir uma definição de política. Uma definição de política define sob que condição é imposta uma política e qual o efeito a ter. Neste exemplo, atribua a definição de política incorporada chamada Herdar uma etiqueta do grupo de recursos se faltar para adicionar a etiqueta especificada com o seu valor do grupo de recursos-mãe a recursos novos ou atualizados que não a etiqueta.

  1. Vá ao portal Azure para atribuir políticas. Pesse e selecione Política.

    Screenshot of searching for Policy in the search bar.

  2. Selecione Atribuições no lado esquerdo da página Azure Policy. Uma atribuição é uma política que foi atribuída para ter lugar num âmbito específico.

    Screenshot of selecting the Assignments node from the Policy Overview page.

  3. Selecione Atribuir Política na parte superior da página Política - Atribuições.

    Screenshot of selecting the 'Assign policy' button on the Assignments page.

  4. No separador 'Política de Atribuição' e "Básicos", selecione o Âmbito selecionando a elipse e selecionando um grupo de gestão ou subscrição. Opcionalmente, selecione um grupo de recursos. Um âmbito determina quais os recursos ou agrupamento de recursos em que a atribuição de política será imposta. Em seguida, selecione Selecione na parte inferior da página 'Âmbito'.

    Este exemplo utiliza a subscrição da Contoso. A sua subscrição vai ser diferente.

  5. Os recursos podem ser excluídos com base no Âmbito. As Exclusões começam num nível inferior ao nível do Âmbito. As Exclusões são opcionais. Por isso, deixe-as em branco por enquanto.

  6. Selecione as reticências de Definição de política para abrir a lista de definições disponíveis. Pode filtrar a definição de política Tipo a Incorporado para ver tudo e ler as suas descrições.

  7. Selecione Herdar uma etiqueta do grupo de recursos se faltar. Se não conseguir encontrá-lo imediatamente, escreva uma etiqueta na caixa de pesquisa e, em seguida, prima ENTER ou selecione para fora da caixa de pesquisa. Selecione Selecione na parte inferior da página Definições disponíveis uma vez que tenha encontrado e selecionado a definição de política.

    Screenshot of the search filter while selecting a policy definition.

  8. O Nome da atribuição é automaticamente preenchido com o nome da política que selecionou, mas pode alterá-lo. Para este exemplo, deixe herdar uma etiqueta do grupo de recursos se faltar. Também pode adicionar uma Descrição opcional. A descrição fornece detalhes sobre esta atribuição de política.

  9. Deixe a aplicação da política conforme habilitado. Quando desativado,esta definição permite testar o resultado da apólice sem desencadear o efeito. Para obter mais informações, consulte o modo de execução.

  10. Atribuído por é preenchido automaticamente com base em quem está iniciado. Este campo é opcional e, por isso, podem ser introduzidos valores personalizados.

  11. Selecione o separador Parâmetros na parte superior do assistente.

  12. Para o Nome da Etiqueta,insira Ambiente.

  13. Selecione o separador Remediação na parte superior do assistente.

  14. Sair Criar uma tarefa de remediação sem controlo. Esta caixa permite-lhe criar uma tarefa para alterar os recursos existentes, além de recursos novos ou atualizados. Para mais informações, consulte os recursos remediar.

  15. A Criação de uma Identidade Gerida é verificada automaticamente uma vez que esta definição de política utiliza o efeito modificação. As permissões são definidas automaticamente para o Contribuinte com base na definição de política. Para obter mais informações, veja identidades geridas e como funciona a segurança de remediação.

  16. Selecione o separador mensagens de não conformidade na parte superior do assistente.

  17. Definir a mensagem de incumprimentopara este recurso não tem a etiqueta necessária. Esta mensagem personalizada é exibida quando um recurso é negado ou para recursos não conformes durante a avaliação regular.

  18. Selecione o separador 'Rever +' na parte superior do assistente.

  19. Reveja as suas seleções e, em seguida, selecione Criar na parte inferior da página.

Implementar uma nova política personalizada

Agora que atribuiu uma definição de política incorporada, pode fazer mais com o Azure Policy. Em seguida, crie uma nova política personalizada para economizar custos, validando que as máquinas virtuais criadas no seu ambiente não podem estar na série G. Desta forma, sempre que um utilizador da sua organização tenta criar uma máquina virtual na série G, o pedido é negado.

  1. Selecione Definições em Autoria no lado esquerdo da página Política Azure.

    Screenshot of the Definitions page under Authoring group.

  2. Selecione + Definição de política na parte superior da página. Este botão abre para a página de definição de Política.

  3. Introduza as seguintes informações:

    • O grupo de gestão ou a subscrição em que a definição de política é guardada. Selecione, utilizando o botão de reticências em Localização da definição.

      Nota

      Se pretender aplicar esta definição de política a diversas subscrições, a localização deverá ser um grupo de gestão que inclua as subscrições às quais atribui a política. O mesmo se aplica a uma definição de iniciativa.

    • O nome da definição de política - Exigir SKUs VM não na série G

    • A descrição do que a definição de política se destina a fazer - Esta definição de política impõe que todas as máquinas virtuais criadas neste âmbito tenham SKUs diferentes da série G para reduzir custos.

    • Escolha de entre as opções existentes (tais como Computação) ou crie uma nova categoria para esta definição de política.

    • Copie o seguinte código JSON e atualize-o de acordo com as suas necessidades com:

      • Os parâmetros de política.
      • As regras/condições políticas, neste caso - Tamanho VM SKU igual a série G
      • O efeito político, neste caso - Negar.

    Veja a seguir o aspeto que o JSON deverá ter. Cole o seu código revisto no portal do Azure.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    A propriedade de campo na regra da política deve ser um valor suportado. Uma lista completa de valores encontra-se nos campos de estrutura de definição de políticas. Um exemplo de um alias poderá ser "Microsoft.Compute/VirtualMachines/Size".

    Para ver mais amostras da Política Azure, consulte as amostras da Política Azure.

  4. Selecione Guardar.

Criar uma definição de política com a API REST

Pode criar uma política com a API REST para Definições políticas Azure. A API REST permite-lhe criar e eliminar definições de política, bem como obter informações sobre as definições existentes. Para criar uma definição de política, utilize o seguinte exemplo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Incluir um corpo de pedido semelhante ao exemplo seguinte:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Criar uma definição de política com o PowerShell

Antes de prosseguir com o exemplo PowerShell, certifique-se de que instalou a versão mais recente do módulo Azure PowerShell Az.

Pode criar uma definição de política ao utilizar o cmdlet New-AzPolicyDefinition.

Para criar uma definição de política a partir de um ficheiro, passe o caminho para o ficheiro. Para um ficheiro externo, utilize o seguinte exemplo:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Para um ficheiro local, utilize o seguinte exemplo:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Para criar uma definição de política com uma regra na mesma linha, utilize o seguinte exemplo:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

O resultado é armazenado num objeto $definition, que é utilizado durante a atribuição de política. O exemplo seguinte cria uma definição de política que inclui os parâmetros:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Ver definições de política com o PowerShell

Para ver todas as definições de política na sua subscrição, utilize o seguinte comando:

Get-AzPolicyDefinition

Devolve todas as definições de política disponíveis, incluindo políticas incorporadas. Cada política é devolvida no seguinte formato:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Criar uma definição de política com a CLI do Azure

Pode criar uma definição de política utilizando o Azure CLI com o az policy definition comando. Para criar uma definição de política com uma regra na mesma linha, utilize o seguinte exemplo:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Ver definições de política com a CLI do Azure

Para ver todas as definições de política na sua subscrição, utilize o seguinte comando:

az policy definition list

Devolve todas as definições de política disponíveis, incluindo políticas incorporadas. Cada política é devolvida no seguinte formato:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Criar e atribuir uma definição de iniciativa

Com uma definição de iniciativa, pode agrupar várias definições de política para alcançar um objetivo mais abrangente. Uma iniciativa avalia os recursos no âmbito da atribuição para o cumprimento das políticas incluídas. Para obter mais informações sobre as definições de iniciativa, veja Descrição geral do Azure Policy.

Criar uma definição de iniciativa

  1. Selecione Definições em Autoria no lado esquerdo da página Política Azure.

    Screenshot of the Definitions page under the Authoring group.

  2. Selecione + Definição de Iniciativa no topo da página para abrir o assistente de definição iniciativa.

    Screenshot of the initiative definition page and properties to set.

  3. Utilize a elipse de localização da Iniciativa para selecionar um grupo de gestão ou subscrição para armazenar a definição. Se a página anterior foi traçada para um único grupo de gestão ou subscrição, a localização da Iniciativa é automaticamente povoada.

  4. Introduza o Nome e a Descrição da iniciativa.

    Este exemplo valida que os recursos estão em conformidade com as definições políticas sobre a segurança. O nome da iniciativa deverá ser Proteger-se e a definição da descrição: Esta iniciativa foi criada para processar todas as definições de política associadas à proteção de recursos.

  5. Em Categoria, escolha de entre as opções existentes ou crie uma nova categoria.

  6. Desa parte de uma versão para a iniciativa, tal como 1.0.

    Nota

    O valor da versão é estritamente metadados e não é utilizado para atualizações ou qualquer processo pelo serviço Azure Policy.

  7. Selecione Seguinte na parte inferior da página ou no separador Políticas na parte superior do assistente.

  8. Selecione O botão de definição de política(s) e navegue pela lista. Selecione as definições de política que pretende adicionar a esta iniciativa. Para a iniciativa Get Secure, adicione as seguintes definições de política incorporadas selecionando a caixa de verificação ao lado da definição de política:

    • Localizações permitidas
    • Monitor que falta proteção de ponto final no Centro de Segurança Azure
    • Máquinas virtuais não viradas para a Internet devem ser protegidas com grupos de segurança de rede
    • A azure Backup deve ser ativado para máquinas virtuais
    • A encriptação do disco tem de ser aplicada em máquinas virtuais
    • Adicione ou substitua uma etiqueta nos recursos (adicione esta definição de política duas vezes)

    Depois de selecionar cada definição de política da lista, selecione Adicionar na parte inferior da lista. Uma vez que é adicionado duas vezes, o Add ou substituir uma etiqueta nas definições de política de recursos cada um obtém um ID de referênciadiferente .

    Screenshot of the selected policy definitions with their reference id and group on the initiative definition page.

    Nota

    As definições de política selecionadas podem ser adicionadas aos grupos selecionando uma ou mais definições adicionadas e selecionando adicionar políticas selecionadas a um grupo. O grupo deve existir primeiro e pode ser criado no separador Grupos do assistente.

  9. Selecione Seguinte na parte inferior da página ou no separador Grupos na parte superior do assistente. Novos grupos podem ser adicionados a partir deste separador. Para este tutorial, não vamos adicionar nenhum grupo.

  10. Selecione Seguinte na parte inferior da página ou o separador parâmetros Iniciativa na parte superior do assistente. Se quiséssemos que existisse um parâmetro na iniciativa de passar para uma ou mais definições políticas incluídas, o parâmetro é definido aqui e depois utilizado no separador parâmetros da Política. Para este tutorial, não estamos adicionando parâmetros de iniciativa.

    Nota

    Uma vez guardados para uma definição de iniciativa, os parâmetros da iniciativa não podem ser eliminados da iniciativa. Se deixar de ser necessário um parâmetro de iniciativa, retire-o da utilização por quaisquer parâmetros de definição de política.

  11. Selecione Seguinte na parte inferior da página ou no separador parâmetros De política na parte superior do assistente.

  12. As definições políticas adicionadas à iniciativa que têm parâmetros são exibidas numa grelha. O tipo de valor pode ser 'Valor predefinido', 'Valor definido', ou 'Parâmetro de Iniciativa de Utilização'. Se for selecionado o 'Valor Definido', o valor relacionado é introduzido no valor(s) valor(s). Se o parâmetro na definição de política tiver uma lista de valores permitidos, a caixa de entrada é um seletor de listas de retirada. Se for selecionado o 'Use Initiative Parameter', é fornecida uma lista de abandono com os nomes dos parâmetros de iniciativa criados no separador parâmetros da Iniciativa.

    Screenshot of the options for allowed values for the allowed locations definition parameter on the policy parameters tab of the initiative definition page.

    Nota

    No caso de alguns parâmetros strongType, a lista de valores não pode ser determinada automaticamente. Nestes casos, um botão de reticências será apresentado à direita da linha do parâmetro. Selecioná-lo abre a página 'Parâmetro scope < (nome do > parâmetro)». Nesta página, selecione a subscrição a utilizar para fornecer as opções de valor. Este âmbito de parâmetro só é utilizado durante a criação da definição de iniciativa e não tem qualquer impacto na avaliação de políticas nem no âmbito da iniciativa quando atribuído.

    Desa estale o valor 'Locais Permitidos' para 'Definir valor' e selecione 'East US 2' da lista de retirada. Para os dois casos do Add ou substitua uma etiqueta nas definições de política de recursos, desaprote os parâmetros 'Nome de Etiqueta' e 'CostCenter' e os parâmetros 'Test' e 'Lab' como mostrado abaixo. Deixe os outros como "Valor Padrão". Utilizando a mesma definição duas vezes na iniciativa, mas com parâmetros diferentes, esta configuração adiciona ou substitui uma etiqueta 'Env' pelo valor 'Teste' e uma etiqueta 'CostCenter' com o valor de 'Lab' nos recursos no âmbito da atribuição.

    Screenshot of the entered options for allowed values for the allowed locations definition parameter and values for both tag parameter sets on the policy parameters tab of the initiative definition page.

  13. Selecione 'Rever + criar na parte inferior da página' ou na parte superior do assistente.

  14. Reveja as definições e selecione Criar.

Criar uma definição de iniciativa política com a Azure CLI

Pode criar uma definição de iniciativa política utilizando o Azure CLI com o az policy set-definition comando. Para criar uma definição de iniciativa política com uma definição de política existente, utilize o seguinte exemplo:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Criar uma definição de iniciativa política com Azure PowerShell

Pode criar uma definição de iniciativa política utilizando Azure PowerShell com o New-AzPolicySetDefinition cmdlet. Para criar uma definição de iniciativa política com uma definição de política existente, utilize o seguinte ficheiro de definição de iniciativa política como VMPolicySet.json :

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Atribuir uma definição de iniciativa

  1. Selecione Definições em Autoria no lado esquerdo da página Política Azure.

  2. Localize a definição de iniciativa Proteger-se que criou anteriormente e selecione-a. Selecione Atribuir na parte superior da página para abrir a página Proteger-se: Atribuir iniciativa.

    Screenshot of the 'Assign' button on the initiative definition page.

    Também pode selecionar e segurar (ou clique à direita) na linha selecionada ou selecionar a elipse no final da linha para um menu contextual. Em seguida, selecione Atribuir.

    Screenshot of the context menu for an initiative to select the Assign functionality.

  3. Preencha a página Proteger-se: Atribuir Iniciativa, introduzindo as seguintes informações de exemplo. Pode utilizar as suas próprias informações.

    • Âmbito: o grupo de gestão ou a subscrição no qual guardou a iniciativa passa a ser a predefinição. Pode alterar o âmbito para atribuir a iniciativa a uma subscrição ou a um grupo de recursos na localização guardada.
    • Exclusões: configure os recursos no âmbito para evitar que a atribuição de iniciativa seja aplicada aos mesmos.
    • Definição de iniciativa e Nome da atribuição: Proteger-se (pré-preenchida como o nome da iniciativa que está a ser atribuída).
    • Descrição: esta atribuição de iniciativa está adaptada para impor este grupo de definições de política.
    • Execução da política: Deixe como o padrão Ativado.
    • Atribuído por: automaticamente preenchido, tendo em conta a pessoa que iniciou a sessão. Este campo é opcional e, por isso, podem ser introduzidos valores personalizados.
  4. Selecione o separador Parâmetros na parte superior do assistente. Se configurar um parâmetro de iniciativa em etapas anteriores, desafie um valor aqui.

  5. Selecione o separador Remediação na parte superior do assistente. Não marque o campo Criar uma Identidade Gerida. Esta caixa deve ser verificada quando a política ou iniciativa que está a ser atribuída inclui uma política com o deployIfNotExists ou modificar efeitos. Como a política usada para este tutorial não, deixe-o em branco. Para obter mais informações, veja identidades geridas e como funciona a segurança de remediação.

  6. Selecione o separador 'Rever +' na parte superior do assistente.

  7. Reveja as suas seleções e, em seguida, selecione Criar na parte inferior da página.

Verificar conformidade inicial

  1. Selecione Conformidade no lado esquerdo da página Azure Policy.

  2. Localize a iniciativa Get Secure. Provavelmente ainda está no estado de conformidade de não ter começado. Selecione a iniciativa para obter todos os detalhes da atribuição.

    Screenshot of the Initiative compliance page showing assignment evaluations in a Not started state.

  3. Depois de concluir a atribuição da iniciativa, a página de conformidade é atualizada com o Estado de conformidade de Conforme.

    Screenshot of the Initiative compliance page showing assignment evaluations complete and in a Compliant state.

  4. Selecionar qualquer política na página de conformidade da iniciativa abre a página de detalhes de conformidade para essa política. Esta página apresenta os detalhes de conformidade ao nível dos recursos.

Remover um recurso não conforme ou negado do âmbito com exclusão

Após a atribuição de uma iniciativa política para exigir uma localização específica, qualquer recurso criado num local diferente é negado. Nesta secção, você anda pela resolução de um pedido negado para criar um recurso criando uma exclusão em um único grupo de recursos. A exclusão impede a aplicação da política (ou iniciativa) sobre esse grupo de recursos. No exemplo seguinte, qualquer localização é permitida no grupo de recursos excluído. Uma exclusão pode aplicar-se a uma subscrição, a um grupo de recursos ou a um recurso individual.

Nota

Uma isenção de política também pode ser utilizada sem a avaliação de um recurso. Para mais informações, consulte Scope in Azure Policy.

As implementações impedidas por uma política ou iniciativa atribuída podem ser vistas no grupo de recursos visado pela implementação: Selecione Implementações no lado esquerdo da página e, em seguida, selecione o Nome de Implantação da implementação falhada. O recurso que foi negado é apresentado com o estado Proibido. Para determinar a política ou iniciativa e atribuição que negou o recurso, selecione Failed. Clique aqui para mais detalhes - na página 'Vista Geral' de Implementação. É apresentada uma janela no lado direito da página com as informações de erro. Em Detalhes de Erro estão os GUIDs dos objetos de política relacionados.

Screenshot of a failed deployment that was denied by a policy assignment.

Na página Política Azure: Selecione Conformidade no lado esquerdo da página e selecione a iniciativa política Get Secure. Nesta página, há um aumento na contagem de Nega para recursos bloqueados. No separador Eventos estão detalhes sobre quem tentou criar ou implementar o recurso que foi negado pela definição de política.

Screenshot of the Events tab and policy event details on the Initiative compliance page.

Neste exemplo, Trent Baker, um dos especialistas em Virtualização sénior de Contoso, estava a fazer o trabalho necessário. Temos de dar ao Trent um espaço para uma exceção. Criei um novo grupo de recursos, o LocationsExcluded,e em seguida concede-lhe uma exceção a esta atribuição de políticas.

Atualizar a atribuição com uma exclusão

  1. Selecione Atribuições em Criação no lado esquerdo da página Azure Policy.

  2. Navegue por todas as atribuições políticas e abra a atribuição de política Get Secure.

  3. Desaprotendo a Exclusão selecionando a elipse e selecionando o grupo de recursos para excluir, LocalizaçõesExcluded neste exemplo. Selecione Adicionar ao Âmbito Selecionado e, em seguida, selecione Guardar.

    Screenshot of the Exclusions option on the Initiative Assignment page to add an excluded resource group to the policy assignment.

    Nota

    Em função da definição de política e do seu efeito, a exclusão poderia também ser concedida a recursos específicos dentro de um grupo de recursos no âmbito da atribuição. Como um efeito Deny foi usado neste tutorial, não faria sentido definir a exclusão em um recurso específico que já existe.

  4. Selecione Rever + guardar e, em seguida, selecione Guardar.

Nesta secção, resolveu o pedido negado criando uma exclusão num único grupo de recursos.

Limpar os recursos

Se já acabou de trabalhar com recursos deste tutorial, use os seguintes passos para eliminar qualquer uma das atribuições ou definições políticas acima criadas:

  1. Selecione Definições (ou Atribuições se estiver a tentar apagar uma atribuição) em Autoria no lado esquerdo da página Política Azure.

  2. Procure a nova definição de iniciativa ou de política (ou atribuição) que acabou de remover.

  3. Clique com o botão direito do rato na linha ou selecione as reticências no fim da definição (ou atribuição) e selecione Eliminar definição (ou Eliminar atribuição).

Revisão

Neste tutorial conseguiu realizar com êxito as seguintes tarefas:

  • Atribuir uma política para impor uma condição para os recursos que criar no futuro
  • Criar e atribuir uma definição de iniciativa para controlar a conformidade de vários recursos
  • Resolver um recurso negado ou em não conformidade
  • Implementar uma nova política numa organização

Passos seguintes

Para saber mais sobre as estruturas de definições de política, veja este artigo: