Snabbstart: Skapa en principtilldelning för att identifiera icke-kompatibla resurser med hjälp av en Bicep-fil
Det första steget mot att förstå kompatibilitet i Azure är att identifiera dina resursers status. I den här snabbstarten går vi igenom processen med att använda en Bicep-fil (förhandsversion) som kompilerats till en Azure Resource Manager-mall (ARM-mall) för att skapa en principtilldelning för att identifiera virtuella datorer som inte använder hanterade diskar. Efter den här genomgången kommer du att kunna identifiera virtuella datorer som inte använder hanterade diskar. De är inkompatibla med principtilldelningen.
En ARM-mall är en JSON-fil (JavaScript Object Notation) som definierar infrastrukturen och konfigurationen för ditt projekt. Mallen använder deklarativ syntax. I deklarativ syntax beskriver du din avsedda distribution utan att skriva sekvensen med programmeringskommandon för att skapa den.
Om din miljö uppfyller förhandskraven och du är van att använda ARM-mallar väljer du knappen Distribuera till Azure. Mallen öppnas i Azure Portal.
Förutsättningar
- Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
- Bicep-version
0.3eller senare installerad. Om du ännu inte har Bicep CLI eller behöver uppdatera, se Installera Bicep (förhandsversion).
Granska Bicep-filen
I den här snabbstarten skapar du en principtilldelning och tilldelar en inbyggd principdefinition som kallas Granska virtuella datorer som inte använder hanterade diskar ( 06a78e20-9358-41c9-923c-fb736d382a4d ). En partiell lista över tillgängliga inbyggda principer finns i Azure Policy exempel.
Skapa följande Bicep-fil som assignment.bicep :
param policyAssignmentName string = 'audit-vm-manageddisks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'
resource assignment 'Microsoft.Authorization/policyAssignments@2021-09-01' = {
name: policyAssignmentName
scope: subscriptionResourceId('Microsoft.Resources/resourceGroups', resourceGroup().name)
properties: {
policyDefinitionId: policyDefinitionID
}
}
output assignmentId string = assignment.id
Resursen som definieras i filen är:
Distribuera mallen
Anteckning
Azure Policy-tjänsten är kostnadsfri. Mer information finns i Översikt över Azure Policy.
När Bicep CLI har installerats och filen har skapats kan du distribuera Bicep-filen med:
New-AzResourceGroupDeployment `
-Name PolicyDeployment `
-ResourceGroupName PolicyGroup `
-TemplateFile assignment.bicep
Några andra resurser:
- Fler exempelmallar finns i Azure-snabbstartsmallen.
- Om du vill se mallreferensen går du till Azure-mallreferensen.
- Information om hur du utvecklar ARM-mallar finns i Azure Resource Manager dokumentationen.
- Information om distribution på prenumerationsnivå finns i Skapa resursgrupper och resurser på prenumerationsnivå.
Verifiera distributionen
Välj Efterlevnad till vänster på sidan. Leta sedan upp principtilldelningen Granska virtuella datorer som inte använder hanterade diskar som du skapade.
Om det finns befintliga resurser som inte är kompatibla med denna nya tilldelning visas de under Icke-kompatibla resurser.
Mer information finns i Så här fungerar efterlevnad.
Rensa resurser
Följ dessa steg för att ta bort tilldelningen som skapades:
Välj Efterlevnad (eller Tilldelningar) till vänster på sidan Azure Policy och leta upp principtilldelningen Granska virtuella datorer som inte använder hanterade diskar som du skapade.
Högerklicka på principtilldelningen Granska virtuella datorer som inte använder hanterade diskar och välj Ta bort tilldelning.
Ta bort
assignment.bicepfilen.
Nästa steg
I den här snabbstarten har du tilldelat en inbyggd principdefinition till ett omfång och utvärderat dess efterlevnadsrapport. Principdefinitionen kontrollerar att alla resurser i omfånget är kompatibla och identifierar vilka som inte är det.
Om du vill ha mer information om tilldelning av principer för att validera att de nya resurserna är kompatibla fortsätter du till självstudien för att: