Создание назначения политики для идентификации несоответствующих требованиям ресурсов с помощью шаблона ARM

Чтобы понять, соответствуют ли ресурсы требованиям в Azure, прежде всего нужно определить их состояние. В этом кратком руководстве описано, как с помощью шаблона Azure Resource Manager (шаблона ARM) создать назначение политики для определения виртуальных машин, которые не используют управляемые диски. Завершив работу, вы узнаете, какие виртуальные машины не используют управляемые диски, так как не соответствуют назначению политики.

Шаблон ARM является файлом нотации объектов JavaScript (JSON), определяющими инфраструктуру и конфигурацию вашего проекта. В шаблоне используется декларативный синтаксис. В декларативном синтаксисе вы можете описать предполагаемое развертывание без написания последовательности команд программирования для создания развертывания.

Если среда соответствует предварительным требованиям и вы знакомы с использованием шаблонов ARM, нажмите кнопку Развертывание в Azure. Шаблон откроется на портале Azure.

Button to deploy the ARM template for assigning an Azure Policy to Azure.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Изучение шаблона

С помощью этого краткого руководства вы создадите назначение политики и назначите встроенное определение политики Аудит виртуальных машин, которые не используют управляемые диски. См. полный список всех доступных встроенных политик Azure.

Шаблон, используемый в этом кратком руководстве, взят из шаблонов быстрого запуска Azure.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "defaultValue": "[guid(parameters('policyDefinitionID'), resourceGroup().name)]",
      "metadata": {
        "description": "Specifies the name of the policy assignment, can be used defined or an idempotent name as the defaultValue provides."
      }
    },
    "policyDefinitionID": {
      "type": "string",
      "metadata": {
        "description": "Specifies the ID of the policy definition or policy set definition being assigned."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Authorization/policyAssignments",
      "name": "[parameters('policyAssignmentName')]",
      "apiVersion": "2019-09-01",
      "properties": {
        "scope": "[subscriptionResourceId('Microsoft.Resources/resourceGroups', resourceGroup().name)]",
        "policyDefinitionId": "[parameters('policyDefinitionID')]"
      }
    }
  ]
}

В шаблоне определен следующий ресурс:

Развертывание шаблона

Примечание

Служба "Политика Azure" предоставляется бесплатно. Дополнительные сведения см. в статье Что такое служба "Политика Azure"?.

  1. Выберите следующее изображение, чтобы войти на портал Azure и открыть шаблон:

    Button to deploy the ARM template for assigning an Azure Policy to Azure.

  2. Введите или выберите следующие значения.

    Имя Значение
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите Создать, укажите имя, а затем выберите OK. На снимке экрана имя группы ресурсов — миполицикуиккстарт Date в ммдд > RG.
    Расположение Выберите регион. Например, центральная часть США.
    Имя назначения политики Укажите имя назначения политики. При необходимости можно использовать отображаемое имя определения политики. Например, Аудит виртуальных машин, которые не используют управляемые диски.
    Имя группы ресурсов Укажите имя группы ресурсов, для которой вы хотите назначить политику. В этом кратком руководстве используйте значение по умолчанию [resourceGroup().name]. resourceGroup() — это функция шаблона, которая извлекает группу ресурсов.
    Идентификатор определения политики Укажите /providers/Microsoft.Authorization/policyDefinitions/0a914e76-4921-4c19-b460-a2d36003525a.
    Я принимаю указанные выше условия Установите этот флажок.
  3. Щелкните Приобрести.

Другие ресурсы

Проверка развертывания

Выберите Соответствие в левой части страницы и найдите ранее созданное назначение политики Аудит виртуальных машин, которые не используют управляемые диски.

Screenshot of compliance details on the Policy Compliance page.

Существующие ресурсы, которые не соответствуют новому назначению, отображаются в разделе Несоответствующие ресурсы.

Дополнительные сведения см. в разделе Как работает соответствие.

Очистка ресурсов

Чтобы удалить созданное назначение, выполните следующие действия:

  1. Выберите элемент Соответствие (или Назначения) в левой части страницы службы Политика Azure и найдите ранее созданное назначение политики Аудит виртуальных машин, которые не используют управляемые диски.

  2. Щелкните правой кнопкой мыши назначение политики Аудит виртуальных машин, которые не используют управляемые диски и выберите Удалить назначение.

    Screenshot of using the context menu to delete an assignment from the Compliance page.

Дальнейшие действия

С помощью этого краткого руководства вы назначили встроенное определение политики для области и изучили отчет о соответствии. Определение политики проверяет, все ли ресурсы в области соответствуют требованиям, и определяет, какие из них не соответствуют.

Следующее руководство серии содержит сведения о назначении политик для проверки новых ресурсов на соответствие требованиям: