Создание назначения политики для идентификации ресурсов, не соответствующих требованиям.

Чтобы понять, соответствуют ли ресурсы требованиям в Azure, прежде всего нужно определить их состояние. В этом кратком руководстве описано, как создать назначение политики для определения виртуальных машин, которые не используют управляемые диски.

Завершив работу, вы узнаете, какие виртуальные машины не используют управляемые диски, так как не соответствуют назначению политики.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Создание назначения политики

С помощью этого краткого руководства вы создадите назначение политики и назначите определение политики Аудит виртуальных машин, которые не используют управляемые диски.

  1. Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

    Снимок экрана: поиск пункта

  2. Выберите Назначения на странице службы Политики Azure слева. Назначение — это политика, которая назначена в рамках определенной области.

    Снимок экрана: открытие страницы

  3. Выберите Назначить политику в верхней части страницы Policy — Assignments (Политика — назначения).

    Снимок экрана: выбор элемента

  4. На странице Назначить политику задайте Область, нажав кнопку с многоточием и выбрав либо группу управления, либо подписку. Либо выберите группу ресурсов. Она определяет, к каким ресурсам или группе ресурсов принудительно применяется назначение политики. В нижней части страницы Область нажмите кнопку Выбрать.

    В этом примере используется подписка Contoso. Ваша подписка будет отличаться.

  5. Ресурсы можно исключить на основе параметра Область. Исключения начинаются на один уровень ниже уровня параметра Область. Исключения являются необязательными, поэтому пока оставьте это поле пустым.

  6. Выберите многоточие рядом с пунктом Определение политики, чтобы открыть список доступных определений. Служба Политика Azure поставляется со встроенными определениями политик, которые можно использовать. Доступны многие политики, такие как:

    • Принудительное применение тега и его значения
    • применять тег и его значение;
    • наследование тега из группы ресурсов, если он отсутствует.

    См. полный список всех доступных встроенных политик Azure.

  7. Найдите определение политики в списке по строке Аудит виртуальных машин, которые не используют управляемые диски. Выберите эту политику и нажмите кнопку Выбрать.

    Снимок экрана: фильтрация доступных определений.

  8. Имя назначения автоматически заполняется выбранным именем политики, но его можно изменить. Для нашего примера сохраните значение Аудит виртуальных машин, которые не используют управляемые диски. При желании вы можете добавить необязательное описание. Описание содержит сведения о назначении этой политики. Поле Назначено будет заполнено автоматически, в зависимости от текущего пользователя. Это поле не является обязательным, поэтому можно ввести произвольные значения.

  9. Оставьте включенным применение политик. Дополнительные сведения см. в разделе Режим применения статьи о назначении политик.

  10. Щелкните Далее в нижней части страницы или вкладку Параметры в верхней части страницы, чтобы перейти к следующему сегменту мастера назначений.

  11. Если в определении политики, выбранном на вкладке Основные сведения, были дополнительные параметры, их можно настроить на этой вкладке. Так как в политике Аудит виртуальных машин, которые не используют управляемые диски, нет параметров, просто щелкните Далее в нижней части страницы или вкладку Исправление в верхней части страницы, чтобы перейти к следующему сегменту мастера назначений.

  12. Оставьте флажок Создать управляемое удостоверение неустановленным. Его необходимо устанавливать, если политика или инициатива содержит политику с эффектом deployIfNotExists или modify. Так как политика, используемая в этом кратком руководстве, не такая, оставьте соответствующее поле пустым. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure? и разделе How remediation security works (Как работает безопасность исправлений).

  13. Щелкните Далее в нижней части страницы или вкладку Сообщения о несоответствии в верхней части страницы, чтобы перейти к следующему сегменту мастера назначений.

  14. Для параметра Сообщение о несоответствии задайте значение Виртуальные машины должны использовать управляемый диск. Это пользовательское сообщение отображается, когда ресурс отклоняется или определяется как несоответствующий во время регулярной оценки.

  15. Щелкните Далее в нижней части страницы или вкладку Просмотреть и создать в верхней части страницы, чтобы перейти к следующему сегменту мастера назначений.

  16. Проверьте выбранные значения, затем щелкните Создать в нижней части страницы.

Теперь все готово к обнаружению ресурсов, которые не соответствуют требованиям, что позволит оценить состояние соответствия в среде.

Выявление несоответствующих ресурсов

Выберите Соответствие в левой части страницы и найдите ранее созданное назначение политики Аудит виртуальных машин, которые не используют управляемые диски.

Снимок экрана: сведения о соответствии политике на странице

Существующие ресурсы, которые не соответствуют новому назначению, отображаются в разделе Несоответствующие ресурсы.

Если условие применяется к существующим ресурсам и оказывается верным, такие ресурсы помечаются как несовместимые с настроенной политикой. В следующей таблице показано, как действуют разные политики в сочетании с оценкой условий для определения итогового состояния соответствия. Хотя логика оценки не отображается на портале Azure, там доступны результаты, полученные при оценке состояния соответствия. Они могут быть такими: Соответствует либо Не соответствует.

Состояние ресурса Действие Вычисление политики Состояние соответствия
Новая или обновленная Audit, Modify, AuditIfNotExist True Не соответствует
Новая или обновленная Audit, Modify, AuditIfNotExist False Соответствует
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True Не соответствует
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist False Соответствует

Примечание

Для установки состояния несоответствия эффекты DeployIfNotExist и AuditIfNotExist требуют, чтобы оператор IF возвращал значение TRUE, а условие существования возвращало FALSE. Когда установлено значение TRUE, условие IF запускает оценку условия существования для связанных ресурсов.

Очистка ресурсов

Чтобы удалить созданное назначение, выполните следующие действия:

  1. Выберите элемент Соответствие (или Назначения) в левой части страницы службы Политика Azure и найдите ранее созданное назначение политики Аудит виртуальных машин, которые не используют управляемые диски.

  2. Щелкните правой кнопкой мыши назначение политики Аудит виртуальных машин, которые не используют управляемые диски и выберите Удалить назначение.

    Снимок экрана: использование контекстного меню для удаления назначения на странице

Дальнейшие действия

С помощью этого краткого руководства вы назначили определение политики для области и изучили отчет о соответствии. Определение политики проверяет, все ли ресурсы в области соответствуют требованиям, и определяет, какие из них не соответствуют.

Следующее руководство серии содержит сведения о назначении политик для проверки новых ресурсов на соответствие требованиям: