Azure İlkesi nedir?
Azure İlkesi, kuruluş standartlarının uygulanmasına ve büyük ölçekte uyumluluk değerlendirmesi yapılmasına yardımcı olur. Uyumluluk panosu aracılığıyla, ortamın genel durumunu değerlendirmek için kaynak başına, ilke başına ayrıntıya inme olanağına sahip toplu bir görünüm sağlar. Ayrıca, mevcut kaynaklar için toplu düzeltme ve yeni kaynaklar için otomatik düzeltme aracılığıyla kaynaklarınızı uyumlu bir şekilde getirmenize yardımcı olur.
Kaynak tutarlılığı, mevzuat Azure İlkesi, güvenlik, maliyet ve yönetim için idare uygulama gibi yaygın kullanım örnekleri vardır. Bu yaygın kullanım örnekleri için ilke tanımları, başlamanıza yardımcı olmak üzere yerleşik olarak Azure ortamınıza zaten mevcuttur.
Tüm Azure İlkesi veriler ve nesneler istirahatta şifrelenir. Daha fazla bilgi için bkz. Beklemede Azure veri şifrelemesi.
Genel Bakış
Azure İlkesi, bu kaynakların özelliklerini iş kurallarıyla karşılaştırarak Azure'daki kaynakları değerlendirir. JSON biçiminde açıklanan bu iş kuralları,ilke tanımları olarak bilinir. Yönetimi basitleştirmek için, bir ilke girişimi (bazen policySet olarak da adlandırılan) oluşturmak için çeşitli iş kuralları birlikte gruplandı. İş kurallarınız oluşturulduktan sonra ilke tanımı veya girişimi yönetim grupları, abonelikler, kaynak grupları veya tek tek kaynaklar gibi Azure'ın desteklediği herhangi bir kaynak kapsamına atanır. Atama, atama kapsamındaki tüm Resource Manager için geçerlidir. Gerekirse alt kapsamlar hariç tutul olabilir. Daha fazla bilgi için bkz. Azure İlkesi.
Azure İlkesi, değerlendirmenin bir kaynağın uyumlu olup olmadığını belirlemek için kullandığı mantığı oluşturmak için bir JSON biçimi kullanır. Tanımlar meta verileri ve ilke kuralını içerir. Tanımlanan kural, tam olarak istediğiniz senaryoyla eşleşmesi için işlevleri, parametreleri, mantıksal işleçleri, koşulları ve özellik diğer adlarını kullanabilir. İlke kuralı, atama kapsamındaki hangi kaynakların değerlendirileceklerini belirler.
Değerlendirme sonuçlarını anlama
Kaynaklar, kaynak yaşam döngüsü, ilke atama yaşam döngüsü ve düzenli olarak devam eden uyumluluk değerlendirmesi sırasında belirli zamanlarda değerlendirilir. Aşağıda, bir kaynağın değerlendirilmesini neden olan zaman veya olaylar ve olaylar veserdir:
- İlke ataması olan bir kapsamda bir kaynak oluşturulur, güncelleştirilir veya silinir.
- İlke veya girişim bir kapsama yeni atanır.
- Bir kapsama atanmış bir ilke veya girişim güncelleştirilir.
- Standart uyumluluk değerlendirme döngüsü sırasında, bu döngü 24 saatte bir gerçekleşir.
İlke değerlendirmesinin ne zaman ve nasıl olduğu hakkında ayrıntılı bilgi için bkz. Değerlendirme tetikleyicileri.
Değerlendirmenin yanıtını denetleme
Uyumlu olmayan kaynakları işlemeye göre iş kuralları kuruluşlar arasında büyük ölçüde farklılık gösterir. Bir kuruluşun uyumlu olmayan bir kaynağa nasıl yanıt vermek istediğinin örnekleri şunlardır:
- Kaynak değişikliğini reddetme
- Değişikliği kaynakta günlüğe kaydedilir
- Değişiklik öncesinde kaynağı değiştirme
- Değişiklik sonrasında kaynağı değiştirme
- İlgili uyumlu kaynakları dağıtma
Azure İlkesi bu iş yanıtlarının her biri, etkileri uygulaması aracılığıyla mümkün olur. Etkileri, ilke tanımının ilke kuralı bölümünde ayarlanır.
Uyumlu olmayan kaynakları düzeltme
Bu etkiler öncelikle kaynak oluşturulduğunda veya güncelleştirildiğinde bir kaynağı etkileyene Azure İlkesi, bu kaynağı değiştirmeye gerek kalmadan mevcut uyumlu olmayan kaynaklarla ilgilenmeyi de destekler. Mevcut kaynakları uyumlu yapma hakkında daha fazla bilgi için bkz. kaynakları düzeltme.
Genel bakış videosu
Aşağıdaki Azure İlkesi genel bakış videosu Build 2018 etkinliğinde kaydedilmiştir. Slaytlar veya video indirme için Channel 9'da Azure İlkesi Azure ortamınızı yönetme'yi ziyaret edin.
Başlarken
Azure İlkesi ve Azure RBAC
Azure rol tabanlı erişim denetimi (Azure RBAC Azure İlkesi arasında birkaç temel fark vardır. Azure İlkesi, kaynaklarda temsil edilen kaynaklara ilişkin özellikleri ve bazı Kaynak Sağlayıcılarının Resource Manager özellikleri inceler ve durumu değerlendirir. Azure İlkesi eylemleri kısıtlamaz (işlemler olarak da denir). Azure İlkesi, değişikliği kimin yaptığı veya değişiklik yapma iznine sahip olanlarla ilgili endişe olmadan kaynak durumunun iş kurallarınıza uygun olması sağlar. İlke Azure İlkesi, girişim tanımlarıve atamalargibi bazı kaynaklar tüm kullanıcılar tarafından görülebilir. Bu tasarım, tüm kullanıcılara ve hizmetlere, kendi ortamında hangi ilke kurallarının ayarlı olduğu konusunda saydamlık sağlar.
Azure RBAC, farklı kapsamlarda kullanıcı eylemlerini yönetmeye odaklanır. Bir eylemin denetimi gerekli ise, Azure RBAC kullanmak için doğru araçtır. Bir kişi eylem gerçekleştirme erişimine sahip olsa bile, sonuç uyumlu olmayan bir kaynaksa Azure İlkesi veya güncelleştirmeyi engellemeye devam ediyor olabilir.
Azure RBAC ve Azure İlkesi, Azure'da tam kapsam denetimi sağlar.
Azure İlkesi'de Azure RBAC izinleri
Azure İlkesi iki Kaynak Sağlayıcısı’nda işlemler olarak bilinen bazı izinlere sahiptir:
Birçok Yerleşik rol Azure İlkesi kaynaklarına izin verir. Kaynak İlkesi Katkıda Bulunanı rolü, çoğu Azure İlkesi içerir. Sahip tüm haklara sahip olur. Hem Katkıda Bulunan hem de Okuyucu tüm okuma işlemlerine Azure İlkesi sahip olabilir. Katkıda bulunan kaynak düzeltmesi tetikleyene, ancak tanım veya atama oluşturaamayacaktır. Kullanıcı Erişimi Yöneticisi, deployIfNotExists üzerinde yönetilen kimliği vermek veya atamaları değiştirmek için gerekli izinleri gerektirir. Tüm ilke nesneleri kapsamdaki tüm roller için okunabilir.
Yerleşik rollerin hiçbirinde gerekli izinler yoksa özel rol oluşturun.
Not
DeployIfNotExists veya değişiklik ilkesi atamalarının yönetilen kimliği, hedeflenen kaynakları oluşturmak veya güncelleştirmek için yeterli izinlere ihtiyaç gösterir. Daha fazla bilgi için bkz. Düzeltme için ilke tanımlarını yapılandırma.
Kaynak kapsamına Azure İlkesi
Azure İlkesi Arc özellikli kaynaklar da dahil olmak üzere tüm Azure kaynaklarını abonelik düzeyinde veya daha düşük bir düzeyde değerlendirir. Konuk yapılandırması , Azure Kubernetes Service ve Azure Key Vaultgibi bazı kaynak sağlayıcılarıiçin, ayarları ve nesneleri yönetmek için daha derin bir tümleştirme vardır. Daha fazla bilgi için bkz. Kaynak Sağlayıcısı modları.
İlkeleri yönetme ile ilgili öneriler
Göz şöyle birkaç işaretçi ve ipucu:
İlke tanımınızı ortamınız üzerindeki kaynaklar üzerindeki etkisini izlemek için reddetme etkisi yerine bir denetim etkisiyle başlatın. Uygulamalarınızı otomatik ölçeklendirmek için hazır betikleriniz varsa reddetme etkisi ayarı bu tür otomasyon görevlerinin zaten yerinde olduğunu engel olabilir.
Tanımlar ve atamalar oluştururken kuruluş hiyerarşilerini göz önünde bulundurarak. Tanımları yönetim grubu veya abonelik düzeyi gibi daha üst düzeylerde oluşturmanız önerilir. Ardından atamayı bir sonraki alt düzeyde oluşturun. Bir yönetim grubunda tanım oluşturmanız, atamanın kapsamı, o yönetim grubu içindeki bir abonelik veya kaynak grubu olarak ya da olabilir.
Tek bir ilke tanımı için bile girişim tanımları oluşturma ve atamayı öneririz. Örneğin, ilke tanımı ilkedefA ve girişim tanımı initiativeDefC altında oluşturun. PolicyDefA'ya benzer hedeflere sahip policyDefB için daha sonra başka bir ilke tanımı seniz, initiativeDefC altına ekleyebilir ve bunları birlikte izleyebilirsiniz.
Girişim ataması oluşturduktan sonra, girişime eklenen ilke tanımları da bu girişimin atamalarının bir parçası olur.
Girişim ataması değerlendirilsin, girişim içindeki tüm ilkeler de değerlendirilir. İlkeyi tek tek değerlendirmeye ihtiyacınız varsa, ilkeyi bir girişime dahil etmek daha iyi olur.
Azure İlkesi nesneleri
İlke tanımı
Azure İlkesi'nde bir ilke oluşturmak ve uygulamak için önce ilke tanımını oluşturmanız gerekir. Her ilke tanımında, bu ilkelerin uygulandığı koşullar bulunur. Ayrıca koşulların karşılandığı durumlar için de tanımlanmış bir etkisi vardır.
Bu Azure İlkesi, varsayılan olarak kullanılabilen çeşitli yerleşik ilkeler sunuyoruz. Örnek:
- İzin Depolama Hesabı SKU'ları (Reddet): Dağıtılan bir depolama hesabının SKU boyutları kümesi içinde olup olmadığını belirler. Bunun etkisi, tanımlı SKU boyutları kümesine bağlı kalmadan tüm depolama hesaplarını reddetmektir.
- İzin Verilen Kaynak Türü (Reddet): Dağıt aşağıdaki kaynak türlerini tanımlar. Bunun etkisi, bu tanımlı listenin parçası olmayan tüm kaynakları reddetmektir.
- İzin Verilen Konumlar (Reddet): Yeni kaynaklar için kullanılabilir konumları kısıtlar. Sahip olduğu eylem ise coğrafi uyumluluk gereksinimlerinizi uygulamaktır.
- İzin Verilen Sanal Makine SKU'ları (Reddet): Dağıtarak bir sanal makine SKU'ları kümesi belirtir.
- Kaynaklara etiket ekleme (Değiştirme): Dağıtım isteği tarafından belirtilmemişse gerekli bir etiketi ve varsayılan değerini uygular.
- İzin verilmiyor kaynak türleri (Reddet): Kaynak türlerinin listesinin dağıtılmasını önler.
Bu ilke tanımlarını (hem yerleşik hem de özel tanımlar) uygulamak için bunları atamalısiniz. Bu ilkelerden herhangi birini Azure portalı, PowerShell veya Azure CLI üzerinden atayabilirsiniz.
İlke değerlendirmesi, ilke ataması veya ilke güncelleştirmeleri gibi birkaç farklı eylemle gerçekleşir. Tam liste için bkz. İlke değerlendirme tetikleyicileri.
İlke tanımlarının yapıları hakkında daha fazla bilgi edinmek için İlke Tanımı Yapısı adlı makaleye göz atın.
İlke parametreleri, oluşturmanız gereken ilke tanımlarının sayısını azaltarak ilke yönetiminizi basitleştirmeye yardımcı olur. İlke tanımı oluştururken parametreleri belirleyerek bunları daha genel hale getirebilirsiniz. Daha sonra bu ilke tanımını farklı senaryolar için kullanabilirsiniz. Bu işlemi, ilke tanımlarının atamasını yaparken farklı değerler girerek gerçekleştirebilirsiniz. Örneğin, abonelik için bir konum kümesi belirtme.
Parametreler, ilke tanımı oluşturulurken tanımlanır. Tanımlanan parametreye bir ad ve isteğe bağlı olarak bir değer verilir. Örneğin, konum başlıklı bir ilke için parametre tanımlayabilirsiniz. Daha sonra, ilkenin atamasını yaparken EastUS veya WestUS gibi farklı değerler verebilirsiniz.
İlke parametreleri hakkında daha fazla bilgi için bkz. Tanım yapısı - Parametreler.
Girişim tanımı
Girişim tanımı, tekil bir hiyerarşi hedefine ulaşma yönünde uyarlanmış ilke tanımları koleksiyonudur. Girişim tanımları, ilke tanımlarının yönetimini ve atanmasını basitleştirir. İlke kümelerini gruplandırıp tek bir öğe haline getirerek basitleştirirler. Örneğin, Azure Güvenlik Merkezinizdeki tüm kullanılabilir güvenlik önerilerini izlemeyi hedefleyen Azure Güvenlik Merkezi'nde İzlemeyi Etkinleştirme başlıklı bir girişim oluşturabilirsiniz.
Not
Azure CLI ve Azure PowerShell SDK, girişimlere başvurmak için PolicySet adlı özellikleri ve parametreleri kullanır.
Bu girişimin altında sahip olabileceğiniz ilke tanımlarından bazıları şunlardır:
- Güvenlik Merkezi'nde SQL Veritabanı izleme - Şifrelenmemiş veritabanlarını ve sunucuları SQL için.
- Güvenlik Merkezi'nde işletim sistemi güvenlik açıklarını izleme - Yapılandırılmış temele uygun olmayan sunucuları izlemek için.
- Güvenlik Merkezi Endpoint Protection eksik izleme - Yüklü bir endpoint protection aracısı olmayan sunucuları izlemek için.
İlke parametreleri gibi, girişim parametreleri de fazlalıkları azaltarak girişim yönetiminin basitleştirilmesine yardımcı olur. Girişim parametreleri, girişim içindeki ilke tanımları tarafından kullanılan parametrelerdir.
Örneğin initiativeC adına her biri farklı bir parametre türü bekleyen policyA ve policyB ilke tanımlarına sahip olan bir girişim tanımına sahip olduğunuzu düşünelim:
| İlke | Parametrenin adı | Parametrenin türü | Not |
|---|---|---|---|
| policyA | allowedLocations | array | Parametre türü “array” olarak tanımlandığından bu parametre, bir değer için dizilerin bulunduğu bir liste bekler |
| policyB | allowedSingleLocation | string | Parametre türü “array” olarak tanımlandığından bu parametre, bir değer için bir sözcük bekler |
Bu senaryoda initiativeC için girişim parametreleri tanımlanırken üç seçeneğiniz vardır:
- Bu girişim dahilinde ilke tanımlarının parametrelerini kullanın: Bu örnekte, allowedLocations ve allowedSingleLocation, initiativeC için girişim parametreleri olur.
- Bu girişim tanımındaki ilke tanımlarının parametrelerine değerler sağlayın. Bu örnekte, policyA'nın parametresi olan allowedLocations ve policyB'nin parametresi olan allowedSingleLocation parametresine konum listesi sekleyebilirsiniz. Bu girişimin atamasını yaparken değerleri de sağlayabilirsiniz.
- Bu girişimin atamasını yaparken kullanılabilecek bir değer seçenekleri listesi sağlayın. Bu girişimi atadığınızda, girişim dahilindeki ilke tanımlarından alınan parametreler yalnızca bu sağlanan listedeki değerleri alabilir.
Bir girişim tanımında değer seçenekleri oluştururken, girişim ataması sırasında farklı bir değer giresiniz çünkü bu değer listenin bir parçası değildir.
Girişim tanımlarının yapıları hakkında daha fazla bilgi edinmek için, Girişim Tanımı Yapısı'nın gözden geçirmesini gözden geçirin.
Atamalar
Atama, belirli bir kapsamda yer almak için atanmış bir ilke tanımı veya girişimdir. Bu kapsam bir yönetim grubundan tek bir kaynağa kadar farklı olabilir. Kapsam terimi tanımın atandığı tüm kaynakları, kaynak gruplarını, abonelikleri veya yönetim gruplarını ifade eder. Atamalar tüm alt kaynaklar tarafından devralınmış olur. Bu tasarım, bir kaynak grubuna uygulanan bir tanımın bu kaynak grubu içinde kaynaklara da uygulandığı anlamına gelir. Ancak, bir alt kapsamı atamanın dışında 3.
Örneğin, abonelik kapsamında ağ kaynaklarının oluşturulmasını engelleyen bir tanım atabilirsiniz. Bu abonelikte ağ altyapısına yönelik bir kaynak grubunu hariç tutabilirsiniz. Ardından bu ağ kaynak grubuna, ağ kaynakları oluştururken güvenen kullanıcılara erişim izni vesersiniz.
Başka bir örnekte, yönetim grubu düzeyinde bir kaynak türü izin verme listesi tanımı atamak istiyor olabilir. Ardından bir alt yönetim grubuna ve hatta doğrudan aboneliklere daha fazla izin veren bir ilke (daha fazla kaynak türüne izin verme) atarsınız. Ancak bu örnek, açık bir reddetme Azure İlkesi çalışmaz. Bunun yerine alt yönetim grubunu veya aboneliği yönetim grubu düzeyinde atamanın dışında tutabilirsiniz. Ardından, alt yönetim grubu veya abonelik düzeyinde daha izinli tanımı attayabilirsiniz. Herhangi bir atama bir kaynağın reddedilirse, kaynağa izin vermenin tek yolu reddetme atamalarını değiştirmektir.
Portal üzerinden atamaları ayarlama hakkında daha fazla bilgi için bkz. Azure ortamınıza uyumlu olmayan kaynakları tanımlamak için ilke ataması oluşturma. PowerShell ve Azure CLI adımları da mevcuttur. Atama yapısı hakkında bilgi için bkz. Atama yapısı.
En fazla Azure İlkesi sayısı
Azure Ilkesi için her nesne türü için en fazla sayı vardır. Tanımlar için bir kapsam girişi, yönetim grubunun veya aboneliğin anlamına gelir. Atamalar ve muafiyetler için bir kapsam girişi, Yönetim grubu, abonelik, kaynak grubu veya tek bir kaynak anlamına gelir.
| Konum | Ne? | Maksimum sayı |
|---|---|---|
| Kapsam | İlke tanımları | 500 |
| Kapsam | Girişim tanımları | 200 |
| Kiracı | Girişim tanımları | 2,500 |
| Kapsam | İlke veya girişim atamaları | 200 |
| Kapsam | Dışarıda | 1000 |
| İlke tanımı | Parametreler | 20 |
| Girişim tanımı | İlkeler | 1000 |
| Girişim tanımı | Parametreler | 300 |
| İlke veya girişim atamaları | Özel durumlar (notScopes) | 400 |
| İlke kuralı | İç içe Koşullular | 512 |
| Düzeltme görevi | Kaynaklar | 500 |
Sonraki adımlar
Artık Azure İlkesi ve bazı önemli kavramlar ile ilgili bir genel bakışa sahipsiniz, önerdiğimiz diğer adımları aşağıda bulabilirsiniz: