Öğretici: uyumluluğu zorlamak için ilke oluşturma ve yönetmeTutorial: Create and manage policies to enforce compliance

Kurumsal standartlarınıza ve hizmet düzeyi sözleşmelerinize uyumluluğu korumak için Azure'da ilkelerin nasıl oluşturulduğunu ve yönetildiğini anlamak önemlidir.Understanding how to create and manage policies in Azure is important for staying compliant with your corporate standards and service level agreements. Bu öğreticide, Azure İlkesi'ni kullanarak kuruluşunuz genelinde ilkeler oluşturma, atama ve yönetmeyle ilgili en yaygın görevlerden bazılarını yerine getirmeyi öğreneceksiniz; örneğin:In this tutorial, you learn to use Azure Policy to do some of the more common tasks related to creating, assigning, and managing policies across your organization, such as:

  • Gelecekte oluşturacağınız kaynaklarda bir koşulu zorunlu tutmak için ilke atamaAssign a policy to enforce a condition for resources you create in the future
  • Birden çok kaynağın uyumluluğunu izlemek için girişim tanımı oluşturma ve atamaCreate and assign an initiative definition to track compliance for multiple resources
  • Uyumlu olmayan veya reddedilen kaynakları çözümlemeResolve a non-compliant or denied resource
  • Kuruluş genelinde yeni bir ilke uygulamaImplement a new policy across an organization

Mevcut kaynaklarınızın geçerli uyumluluk durumunu tanımlamak için bir ilke atamak isterseniz, hızlı başlangıç makalelerinde bunun nasıl yapıldığı açıklanır.If you would like to assign a policy to identify the current compliance state of your existing resources, the quickstart articles go over how to do so.

Ön koşullarPrerequisites

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.If you don't have an Azure subscription, create a free account before you begin.

İlke atamaAssign a policy

Azure İlkesi ile uyumluluğu zorlamanın ilk adımı bir ilke tanımı atamaktır.The first step in enforcing compliance with Azure Policy is to assign a policy definition. İlke tanımında, bir ilkenin hangi koşullar altında zorlanacağını ve hangi etkinin uygulanacağı tanımlanır.A policy definition defines under what condition a policy is enforced and what effect to take. Bu örnekte, belirtilen etiketi üst kaynak grubundan yeni veya güncelleştirilmiş kaynaklara eklemek için eksik olursa, kaynak grubundan etiketi devralma adlı yerleşik ilke tanımını atayın.In this example, assign the built-in policy definition called Inherit a tag from the resource group if missing to add the specified tag with its value from the parent resource group to new or updated resources missing the tag.

  1. İlke atamak için Azure portal gidin.Go to the Azure portal to assign policies. İlke arayın ve seçin.Search for and select Policy.

    Arama çubuğunda Ilke aramanın ekran görüntüsü.

  2. Azure İlkesi sayfasının sol tarafından Atamalar'ı seçin.Select Assignments on the left side of the Azure Policy page. Atama, belirli bir kapsamda gerçekleşmesi için atanmış olan bir ilkedir.An assignment is a policy that has been assigned to take place within a specific scope.

    Ilkeye genel bakış sayfasından atamalar düğümünü seçme ekran görüntüsü.

  3. İlke - Atamalar sayfasının üst kısmından İlke Ata'yı seçin.Select Assign Policy from the top of the Policy - Assignments page.

    Atamalar sayfasında ' ilke ata ' düğmesini seçme ekran görüntüsü.

  4. Ilke ata sayfası ve temel bilgiler sekmesinde, üç noktayı seçip bir yönetim grubu veya abonelik seçerek kapsamı seçin.On the Assign Policy page and Basics tab, select the Scope by selecting the ellipsis and selecting either a management group or subscription. İsterseniz bir kaynak grubu seçin.Optionally, select a resource group. Kapsam, ilke atamasının hangi kaynaklarda veya kaynak gruplarında uygulanacağını belirler.A scope determines what resources or grouping of resources the policy assignment gets enforced on. Ardından kapsam sayfasının alt kısmında Seç ' i seçin.Then select Select at the bottom of the Scope page.

    Bu örnekte Contoso aboneliği kullanılır.This example uses the Contoso subscription. Sizin aboneliğiniz farklı olacaktır.Your subscription will differ.

  5. Kaynaklar Kapsam’a göre dışlanabilir.Resources can be excluded based on the Scope. Dışlamalar, Kapsam’dan bir düzey aşağıda başlatılır.Exclusions start at one level lower than the level of the Scope. Dışlamalar isteğe bağlıdır, bu yüzden şimdilik boş bırakın.Exclusions are optional, so leave it blank for now.

  6. İlke tanımı üç nokta öğesini seçerek kullanılabilen tanımların listesini açın.Select the Policy definition ellipsis to open the list of available definitions. Tür değeri Yerleşik olan ilke tanımlarını filtreleyerek bunların tümünü görüntüleyebilir ve açıklamalarını okuyabilirsiniz.You can filter the policy definition Type to Built-in to view all and read their descriptions.

  7. Eksikse kaynak grubundan etiket devralma' yı seçin.Select Inherit a tag from the resource group if missing. Hemen bulamıyorsanız, arama kutusuna bir etiket devralma YAZıN ve ENTER tuşuna basın veya arama kutusunu seçin.If you can't find it right away, type inherit a tag into the search box and then press ENTER or select out of the search box. Varsa ve ilke tanımını seçtikten sonra kullanılabilir tanımlar sayfasının alt kısmında Seç ' i seçin.Select Select at the bottom of the Available Definitions page once you have found and selected the policy definition.

    İlke tanımı seçerken arama filtresinin ekran görüntüsü.

  8. Atama adı otomatik olarak seçtiğiniz ilke adıyla doldurulur, ancak bunu değiştirebilirsiniz.The Assignment name is automatically populated with the policy name you selected, but you can change it. Bu örnek için, eksikse kaynak grubundan bir etiketi devralmayı bırakın.For this example, leave Inherit a tag from the resource group if missing. İsteğe bağlı bir Açıklama da ekleyebilirsiniz.You can also add an optional Description. Açıklama, bu ilke atamasıyla ilgili ayrıntıları sağlar.The description provides details about this policy assignment.

  9. İlke zorlamayı etkin olarak bırakın.Leave Policy enforcement as Enabled. Devre dışı bırakıldığında, bu ayar, etkiyi tetiklemeden ilkenin sonucunun test edilmesine olanak tanır.When Disabled, this setting allows testing the outcome of the policy without triggering the effect. Daha fazla bilgi için bkz. zorlama modu.For more information, see enforcement mode.

  10. Tarafından atanan , oturum açan kim temel alınarak otomatik olarak doldurulur.Assigned by is automatically filled based on who is logged in. Bu alan isteğe bağlı olduğu için özel değerler girilebilir.This field is optional, so custom values can be entered.

  11. Sihirbazın üst kısmındaki Parametreler sekmesini seçin.Select the Parameters tab at the top of the wizard.

  12. Etiket adı için ortam girin.For Tag Name, enter Environment.

  13. Sihirbazın üst kısmındaki Düzeltme sekmesini seçin.Select the Remediation tab at the top of the wizard.

  14. Düzeltme oluşturma görevi işaretlenmemiş olarak bırakın.Leave Create a remediation task unchecked. Bu kutu, yeni veya güncelleştirilmiş kaynaklara ek olarak var olan kaynakları değiştirmek için bir görev oluşturmanıza olanak sağlar.This box allows you to create a task to alter existing resources in addition to new or updated resources. Daha fazla bilgi için bkz. kaynaklarıdüzeltme.For more information, see remediate resources.

  15. Bu ilke tanımı değiştirme efektini kullandığından, yönetilen kimlik oluşturma otomatik olarak denetlenir.Create a Managed Identity is automatically checked since this policy definition uses the modify effect. İzinler , ilke tanımına göre otomatik olarak katkı olarak ayarlanır.Permissions is set to Contributor automatically based on the policy definition. Daha fazla bilgi için yönetilen kimlikler ve düzeltme güvenliğinin işleyişi bölümlerine bakın.For more information, see managed identities and how remediation security works.

  16. Sihirbazın üst kısmındaki gözden geçir + oluştur sekmesini seçin.Select the Review + create tab at the top of the wizard.

  17. Seçimlerinizi gözden geçirin ve ardından sayfanın alt kısmındaki Oluştur ' u seçin.Review your selections, then select Create at the bottom of the page.

Yeni bir özel ilke uygulamaImplement a new custom policy

Artık bir yerleşik ilke tanımı atadığınıza göre, Azure İlkesi'yle daha fazlasını da yapabilirsiniz.Now that you've assigned a built-in policy definition, you can do more with Azure Policy. Daha sonra, ortamınızda oluşturulan sanal makinelerin G serisinde yer aldığı doğrulayarak maliyetleri kaydetmek için yeni bir özel ilke oluşturun.Next, create a new custom policy to save costs by validating that virtual machines created in your environment can't be in the G series. Bu şekilde, kuruluşunuzdaki bir Kullanıcı G serisinde bir sanal makine oluşturmak için her seferinde istek reddedilir.This way, every time a user in your organization tries to create a virtual machine in the G series, the request is denied.

  1. Azure Ilkesi sayfasının sol tarafında bulunan yazma altındaki tanımlar ' ı seçin.Select Definitions under Authoring in the left side of the Azure Policy page.

    Yazma grubu altında tanımlar sayfasının ekran görüntüsü.

  2. Sayfanın üst kısmındaki + İlke tanımı seçeneğini belirleyin.Select + Policy definition at the top of the page. Bu düğme, ilke tanımı sayfası için açılır.This button opens to the Policy definition page.

  3. Aşağıdaki bilgileri girin:Enter the following information:

    • İlke tanımının kayıtlı olduğu yönetim grubu veya abonelik.The management group or subscription in which the policy definition is saved. Tanım konumu’ndaki üç noktayı kullanarak seçin.Select by using the ellipsis on Definition location.

      Not

      Bu ilke tanımını birden çok aboneliğe uygulamayı planlıyorsanız, konumun ilkeyi atayacağınız abonelikleri içeren yönetim grubu olması gerekir.If you plan to apply this policy definition to multiple subscriptions, the location must be a management group that contains the subscriptions you assign the policy to. Bir girişim tanımı için de aynısı geçerlidir.The same is true for an initiative definition.

    • İlke tanımının adı- VM SKU 'Larını G serisinde değil isteThe name of the policy definition - Require VM SKUs not in the G series

    • İlke tanımının yapması amaçlanan Açıklama – Bu ilke tanımı, bu kapsamda oluşturulan tüm sanal makinelerin maliyeti azaltmak Için G serisi dışındaki SKU 'lara sahip olmasını zorunlu kılar.The description of what the policy definition is intended to do – This policy definition enforces that all virtual machines created in this scope have SKUs other than the G series to reduce cost.

    • Mevcut seçenekler arasından seçim yapın (İşlem gibi) veya bu ilke tanımı için yeni bir kategori oluşturun.Choose from existing options (such as Compute), or create a new category for this policy definition.

    • Aşağıdaki JSON kodunu kopyalayın ve ardından gereksinimlerinize uygun olarak aşağıdaki öğelerle güncelleştirin:Copy the following JSON code and then update it for your needs with:

      • İlke parametreleri.The policy parameters.
      • İlke kuralları/koşulları; bu örnekte, G serisine eşit VM SKU boyutuThe policy rules/conditions, in this case – VM SKU size equal to G series
      • İlkenin etkisi, bu örnekte Reddet.The policy effect, in this case – Deny.

    JSON aşağıdakine benzer olmalıdır.Here's what the JSON should look like. Düzeltilmiş kodunuzu Azure Portal'a yapıştırın.Paste your revised code into the Azure portal.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    İlke kuralındaki field özelliği desteklenen bir değer olmalıdır.The field property in the policy rule must be a supported value. İlke tanımı yapısı alanlarında, değerlerin tam bir listesi bulunur.A full list of values is found on policy definition structure fields. Diğer adlara örnek olarak "Microsoft.Compute/VirtualMachines/Size" verilebilir.An example of an alias might be "Microsoft.Compute/VirtualMachines/Size".

    Daha fazla Azure Ilke örneği görüntülemek için bkz. Azure ilke örnekleri.To view more Azure Policy samples, see Azure Policy samples.

  4. Kaydet'i seçin.Select Save.

REST API ile ilke tanımı oluşturmaCreate a policy definition with REST API

Azure Ilke tanımları için REST API bir ilke oluşturabilirsiniz.You can create a policy with the REST API for Azure Policy Definitions. REST API, ilke tanımlarını oluşturmanıza ve silmenize, ayrıca mevcut tanımlar hakkında bilgi almanıza olanak tanır.The REST API enables you to create and delete policy definitions, and get information about existing definitions. İlke tanımı oluşturmak için aşağıdaki örneği kullanın:To create a policy definition, use the following example:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Aşağıdaki örnekte gösterilene benzer bir istek gövdesi ekleyin:Include a request body similar to the following example:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

PowerShell ile ilke tanımı oluşturmaCreate a policy definition with PowerShell

PowerShell örneğine devam etmeden önce, Azure PowerShell az Module 'ün en son sürümünü yüklediğinizden emin olun.Before proceeding with the PowerShell example, make sure you've installed the latest version of the Azure PowerShell Az module.

New-AzPolicyDefinition cmdlet'ini kullanarak ilke tanımı oluşturabilirsiniz.You can create a policy definition using the New-AzPolicyDefinition cmdlet.

Bir dosyadan ilke tanımı oluşturmak için, dosyanın yolunu geçirin.To create a policy definition from a file, pass the path to the file. Dış dosya için aşağıdaki örneği kullanın:For an external file, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Yerel dosya kullanımı için aşağıdaki örneği kullanın:For a local file use, use the following example:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Satır içi kuralla ilke tanımı oluşturmak için aşağıdaki örneği kullanın:To create a policy definition with an inline rule, use the following example:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Çıkış bir $definition nesnesinde depolanır ve bu nesne ilke ataması sırasında kullanılır.The output is stored in a $definition object, which is used during policy assignment. Aşağıdaki örnekte, parametreler içeren bir ilke tanımı oluşturulur:The following example creates a policy definition that includes parameters:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

İlke tanımlarını PowerShell ile görüntülemeView policy definitions with PowerShell

Aboneliğinizdeki tüm ilke tanımlarını görmek için aşağıdaki komutu kullanın:To see all policy definitions in your subscription, use the following command:

Get-AzPolicyDefinition

Yerleşik ilkeler de dahil olmak üzere tüm kullanılabilir ilke tanımlarını döndürür.It returns all available policy definitions, including built-in policies. Her ilke şu biçimde döndürülür:Each policy is returned in the following format:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Azure CLI ile ilke tanımı oluşturmaCreate a policy definition with Azure CLI

Komutuyla Azure CLı kullanarak bir ilke tanımı oluşturabilirsiniz az policy definition .You can create a policy definition using Azure CLI with the az policy definition command. Satır içi kuralla ilke tanımı oluşturmak için aşağıdaki örneği kullanın:To create a policy definition with an inline rule, use the following example:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

İlke tanımlarını Azure CLI ile görüntülemeView policy definitions with Azure CLI

Aboneliğinizdeki tüm ilke tanımlarını görmek için aşağıdaki komutu kullanın:To see all policy definitions in your subscription, use the following command:

az policy definition list

Yerleşik ilkeler de dahil olmak üzere tüm kullanılabilir ilke tanımlarını döndürür.It returns all available policy definitions, including built-in policies. Her ilke şu biçimde döndürülür:Each policy is returned in the following format:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Girişim tanımı oluşturma ve atamaCreate and assign an initiative definition

Girişim tanımıyla, çeşitli ilke tanımlarını gruplandırıp kapsamlı bir hedefe ulaşabilirsiniz.With an initiative definition, you can group several policy definitions to achieve one overarching goal. Bir girişim, dahil edilen ilkelerle uyumluluk için atamanın kapsamındaki kaynakları değerlendirir.An initiative evaluates resources within scope of the assignment for compliance to the included policies. Girişim tanımları hakkında daha fazla bilgi için bkz. Azure İlkesine genel bakış.For more information about initiative definitions, see Azure Policy overview.

Girişim tanımı oluşturmaCreate an initiative definition

  1. Azure Ilkesi sayfasının sol tarafında bulunan yazma altındaki tanımlar ' ı seçin.Select Definitions under Authoring in the left side of the Azure Policy page.

    Yazma grubu altındaki tanımlar sayfasının ekran görüntüsü.

  2. Girişim tanımı Sihirbazı 'nı açmak için sayfanın üst kısmındaki + girişim tanımını seçin.Select + Initiative Definition at the top of the page to open the Initiative definition wizard.

    Girişim tanımı sayfasının ve ayarlanacak özelliklerin ekran görüntüsü.

  3. Tanımlamayı depolamak için bir yönetim grubu veya abonelik seçmek üzere girişim konumu üç nokta simgesini kullanın.Use the Initiative location ellipsis to select a management group or subscription to store the definition. Önceki sayfanın kapsamı tek bir yönetim grubu veya aboneliğine yayıldıysa, girişim konumu otomatik olarak doldurulur.If the previous page was scoped to a single management group or subscription, Initiative location is automatically populated.

  4. Girişim için ad ve Açıklama girin.Enter the Name and Description of the initiative.

    Bu örnek, kaynakların güvenli hale getirme ile ilgili ilke tanımlarıyla uyumlu olduğunu doğrular.This example validates that resources are in compliance with policy definitions about getting secure. Girişimi Güvenliği Sağlama olarak adlandırın ve şöyle bir açıklama yazın: Bu girişim kaynakların güvenliğini sağlamakla ilişkili tüm ilke tanımlarını işlemek için oluşturuldu.Name the initiative Get Secure and set the description as: This initiative has been created to handle all policy definitions associated with securing resources.

  5. Kategori için mevcut seçenekler arasından seçim yapın veya yeni bir kategori oluşturun.For Category, choose from existing options or create a new category.

  6. Girişim için 1,0 gibi bir Sürüm ayarlayın.Set a Version for the initiative, such as 1.0.

    Not

    Sürüm değeri kesinlikle meta verilerdir ve Azure Ilke hizmeti tarafından güncelleştirmeler veya herhangi bir işlem için kullanılmaz.The version value is strictly metadata and isn't used for updates or any process by the Azure Policy service.

  7. Sayfanın en altında bulunan İleri ' yi veya sihirbazın en üstündeki ilkeler sekmesini seçin.Select Next at the bottom of the page or the Policies tab at the top of the wizard.

  8. İlke tanımı Ekle düğmesini seçin ve listeye göz atabilirsiniz.Select Add policy definition(s) button and browse through the list. Bu girişimde eklenmesini istediğiniz ilke tanımlarını seçin.Select the policy definition(s) you want added to this initiative. Güvenli al girişimi için, ilke tanımının yanındaki onay kutusunu seçerek aşağıdaki yerleşik ilke tanımlarını ekleyin:For the Get Secure initiative, add the following built-in policy definitions by selecting the checkbox next to the policy definition:

    • İzin verilen konumlarAllowed locations
    • Azure Güvenlik Merkezi 'nde eksik Endpoint Protection izlemeMonitor missing Endpoint Protection in Azure Security Center
    • İnternet 'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdırNon-internet-facing virtual machines should be protected with network security groups
    • Sanal makineler için Azure Backup etkinleştirilmelidirAzure Backup should be enabled for Virtual Machines
    • Disk şifrelemesi sanal makinelere uygulanmalıdırDisk encryption should be applied on virtual machines
    • Kaynaklardaki bir etiketi ekleyin veya değiştirin (Bu ilke tanımını iki kez ekleyin)Add or replace a tag on resources (add this policy definition twice)

    Listeden her bir ilke tanımını seçtikten sonra listenin en altında Ekle ' yi seçin.After selecting each policy definition from the list, select Add at the bottom of the list. İki kez eklendiğinden, kaynaklar için bir etiket ekle veya Değiştir ilke tanımlarına her biri farklı BIR başvuru kimliği alır.Since it's added twice, the Add or replace a tag on resources policy definitions each get a different reference ID.

    Girişim tanımı sayfasında başvuru kimliği ve grubu olan seçili ilke tanımlarının ekran görüntüsü.

    Not

    Seçilen ilke tanımları, eklenen bir veya daha fazla tanım seçilerek ve Seçili ilkeleri bir gruba ekle seçilerek gruplara eklenebilir.The selected policy definitions can be added to groups by selecting one or more added definitions and selecting Add selected policies to a group. Grup önce mevcut olmalı ve sihirbazın gruplar sekmesinde oluşturulabilir.The group must exist first and can be created on the Groups tab of the wizard.

  9. Sayfanın en altında bulunan İleri ' yi veya sihirbazın üst kısmındaki gruplar sekmesini seçin.Select Next at the bottom of the page or the Groups tab at the top of the wizard. Yeni gruplar, bu sekmeden eklenebilir. Bu öğreticide hiçbir grup ekliyoruz.New groups can be added from this tab. For this tutorial, we aren't adding any groups.

  10. Sayfanın en altında bulunan İleri ' yi veya sihirbazın en üstündeki girişim parametreleri sekmesini seçin.Select Next at the bottom of the page or the Initiative parameters tab at the top of the wizard. Bir veya daha fazla dahil edilen ilke tanımına geçiş için girişimde bir parametrenin var olduğunu istiyorsam, parametre burada tanımlanır ve sonra ilke parametreleri sekmesinde kullanılır. Bu öğreticide, hiçbir girişim parametresi ekliyoruz.If we wanted a parameter to exist at the initiative for passing to one or more included policy definitions, the parameter is defined here and then used on the Policy parameters tab. For this tutorial, we aren't adding any initiative parameters.

    Not

    Girişim tanımına kaydedildikten sonra, girişim parametreleri girişimden silinemez.Once saved to an initiative definition, initiative parameters can't be deleted from the initiative. Bir girişim parametresi artık gerekmiyorsa, herhangi bir ilke tanımı parametresi tarafından kullanımını kaldırın.If an initiative parameter is no longer needed, remove it from use by any policy definition parameters.

  11. Sayfanın en altında bulunan İleri ' yi veya sihirbazın en üstündeki ilke parametreleri sekmesini seçin.Select Next at the bottom of the page or the Policy parameters tab at the top of the wizard.

  12. Parametrelere parametreler içeren bir kılavuzda görüntülenen ilke tanımı.Policy definition added to the initiative that have parameters are displayed in a grid. Değer türü ' varsayılan değer ', ' değer ayarla ' veya ' Use girişim parametresi ' olabilir.The value type can be 'Default value', 'Set value', or 'Use Initiative Parameter'. ' Değeri ayarla ' seçilirse ilgili değer değer (ler) in altına girilir.If 'Set value' is selected, the related value is entered under Value(s). İlke tanımındaki parametresinde izin verilen değerler listesi varsa, giriş kutusu bir açılan seçicidir.If the parameter on the policy definition has a list of allowed values, the entry box is a drop-down selector. ' Girişim parametresi kullan ' seçilirse, girişim parametreleri sekmesinde oluşturulan girişim parametrelerinin adlarıyla birlikte bir açılan seçim sağlanır.If 'Use Initiative Parameter' is selected, a drop-down select is provided with the names of initiative parameters created on the Initiative parameters tab.

    Girişim tanımı sayfasının ilke parametreleri sekmesinde izin verilen konumlar tanımı parametresi için izin verilen değerler için seçeneklerin ekran görüntüsü.

    Not

    Bazı strongType parametrelerinde değer listesi otomatik olarak belirlenebilir.In the case of some strongType parameters, the list of values cannot be automatically determined. Böyle durumlarda parametre satırının sağ tarafında üç nokta simgesi görünür.In these cases, an ellipsis appears to the right of the parameter row. Seçilirse, ' parametre kapsamı ( < parametre adı > ) ' sayfası açılır.Selecting it opens the 'Parameter scope (<parameter name>)' page. Bu sayfada, değer seçeneklerini sağlamak için kullanılacak aboneliği seçin.On this page, select the subscription to use for providing the value options. Bu parametre kapsamı yalnızca girişim tanımı oluşturma işlemi sırasında kullanılır ve atandığında, ilke değerlendirmesi veya girişim kapsamı üzerinde herhangi bir etkisi olmaz.This parameter scope is only used during creation of the initiative definition and has no impact on policy evaluation or the scope of the initiative when assigned.

    ' Izin verilen konumlar ' değer türünü ' Set Value ' olarak ayarlayın ve açılan listeden ' Doğu ABD 2 ' seçeneğini belirleyin.Set the 'Allowed locations' value type to 'Set value' and select 'East US 2' from the drop-down. Kaynaklardaki bir etiketi ekle veya Değiştir ilke tanımlarında, etiket adı parametrelerini ' env ' ve ' Costcenter ' a ve etiket değeri parametrelerini aşağıda gösterildiği gibi ' test ' ve ' Lab ' olarak ayarlayın.For the two instances of the Add or replace a tag on resources policy definitions, set the Tag Name parameters to 'Env' and 'CostCenter and the Tag Value parameters to 'Test' and 'Lab' as shown below. Diğerlerini ' varsayılan değer ' olarak bırakın.Leave the others as 'Default value'. Girişimde aynı tanımı iki kez kullanarak, ancak farklı parametrelerle bu yapılandırma, atamanın kapsamındaki kaynaklarda ' test ' değeri ve ' CostCenter ' etiketiyle ' Lab ' değeri ile bir ' env ' etiketi ekler veya değiştirir.Using the same definition twice in the initiative but with different parameters, this configuration adds or replace an 'Env' tag with the value 'Test' and a 'CostCenter' tag with the value of 'Lab' on resources in scope of the assignment.

    İzin verilen konumlar tanımı parametresi için izin verilen değerler için girilen seçeneklerin ve girişim tanımı sayfasının ilke parametreleri sekmesindeki etiket parametresi kümelerinin değerlerinin ekran görüntüsü.

  13. Sayfanın alt kısmında veya sihirbazın en üstünde bulunan gözden geçir + oluştur ' u seçin.Select Review + create at the bottom of the page or at the top of the wizard.

  14. Ayarları gözden geçirin ve Oluştur' u seçin.Review the settings and select Create.

Azure CLı ile ilke girişim tanımı oluşturmaCreate a policy initiative definition with Azure CLI

Komutuyla Azure CLı kullanarak bir ilke girişim tanımı oluşturabilirsiniz az policy set-definition .You can create a policy initiative definition using Azure CLI with the az policy set-definition command. Var olan bir ilke tanımıyla bir ilke girişim tanımı oluşturmak için aşağıdaki örneği kullanın:To create a policy initiative definition with an existing policy definition, use the following example:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Azure PowerShell ile ilke girişim tanımı oluşturmaCreate a policy initiative definition with Azure PowerShell

Cmdlet ile Azure PowerShell kullanarak bir ilke girişim tanımı oluşturabilirsiniz New-AzPolicySetDefinition .You can create a policy initiative definition using Azure PowerShell with the New-AzPolicySetDefinition cmdlet. Var olan bir ilke tanımıyla bir ilke girişim tanımı oluşturmak için aşağıdaki ilke girişim tanım dosyasını şu şekilde kullanın VMPolicySet.json :To create a policy initiative definition with an existing policy definition, use the following policy initiative definition file as VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Girişim tanımını atamaAssign an initiative definition

  1. Azure Ilkesi sayfasının sol tarafında bulunan yazma altındaki tanımlar ' ı seçin.Select Definitions under Authoring in the left side of the Azure Policy page.

  2. Daha önce oluşturduğunuz Güvenliği Sağlama adlı girişim tanımını bulup seçin.Locate the Get Secure initiative definition you previously created and select it. Sayfanın en üstünde bulunan ata ' yı seçerek güvenli al: atama girişimi sayfasına açın.Select Assign at the top of the page to open to the Get Secure: Assign initiative page.

    Girişim tanımı sayfasındaki ' ata ' düğmesinin ekran görüntüsü.

    Ayrıca, seçilen satıra sağ tıklayıp bir bağlamsal menü için satırın sonundaki üç nokta simgesini de seçebilirsiniz.You can also right-click on the selected row or select the ellipsis at the end of the row for a contextual menu. Ardından ata' yı seçin.Then select Assign.

    Atama işlevini seçmek için bir girişimin bağlam menüsünün ekran görüntüsü.

  3. Aşağıdaki örnek bilgileri girerek Güvenliği Sağlama: Girişimi Ata sayfasını doldurun.Fill out the Get Secure: Assign Initiative page by entering the following example information. Kendi bilgilerinizi de kullanabilirsiniz.You can use your own information.

    • Kapsam: Girişimi kaydettiğiniz yönetim grubu veya abonelik, varsayılan kapsam olur.Scope: The management group or subscription you saved the initiative to becomes the default. Kapsamı değiştirerek girişimi kayıt konumundaki bir aboneliğe veya kaynak grubuna atayabilirsiniz.You can change scope to assign the initiative to a subscription or resource group within the save location.
    • Dışlamalar: Kapsam dahilinde yer alan ancak girişim atamasının uygulanmasını önlemek istediğiniz kaynaklar varsa bunları yapılandırın.Exclusions: Configure any resources within the scope to prevent the initiative assignment from being applied to them.
    • Girişim tanımı ve Atama adı: Güvenliği Sağlama (atanan girişimin adı olarak önceden oluşturulur).Initiative definition and Assignment name: Get Secure (pre-populated as name of initiative being assigned).
    • Açıklama: Bu girişim ataması, bu ilke tanımları grubunu zorunlu tutmak için uyarlanmıştır.Description: This initiative assignment is tailored to enforce this group of policy definitions.
    • İlke zorlama: varsayılan etkin olarak bırakın.Policy enforcement: Leave as the default Enabled.
    • Atayan: Oturum açmış kişiye göre otomatik olarak doldurulur.Assigned by: Automatically filled based on who is logged in. Bu alan isteğe bağlı olduğu için özel değerler girilebilir.This field is optional, so custom values can be entered.
  4. Sihirbazın üst kısmındaki Parametreler sekmesini seçin.Select the Parameters tab at the top of the wizard. Önceki adımlarda bir girişim parametresi yapılandırdıysanız, burada bir değer ayarlayın.If you configured an initiative parameter in previous steps, set a value here.

  5. Sihirbazın üst kısmındaki Düzeltme sekmesini seçin.Select the Remediation tab at the top of the wizard. Yönetilen Kimlik Oluşturun seçeneğini işaretsiz bırakın.Leave Create a Managed Identity unchecked. Atanan ilke veya girişim, Deployifnotexists veya değişiklik efektlerini içeren bir ilke içerdiğinde bu kutu denetlenmelidir .This box must be checked when the policy or initiative being assigned includes a policy with the deployIfNotExists or modify effects. Bu öğretici için kullanılan ilke olmadığından boş bırakın.As the policy used for this tutorial doesn't, leave it blank. Daha fazla bilgi için yönetilen kimlikler ve düzeltme güvenliğinin işleyişi bölümlerine bakın.For more information, see managed identities and how remediation security works.

  6. Sihirbazın üst kısmındaki gözden geçir + oluştur sekmesini seçin.Select the Review + create tab at the top of the wizard.

  7. Seçimlerinizi gözden geçirin ve ardından sayfanın alt kısmındaki Oluştur ' u seçin.Review your selections, then select Create at the bottom of the page.

İlk uyumluluğu denetlemeCheck initial compliance

  1. Azure İlkesi sayfasının sol tarafından Uyumluluklar'ı seçin.Select Compliance in the left side of the Azure Policy page.

  2. Güvenli al girişimi ' ni bulun.Locate the Get Secure initiative. Hala başlatılmamış olan uyumluluk durumunda olabilir.It's likely still in Compliance state of Not started. Atamanın tüm ayrıntılarını almak için girişimi seçin.Select the initiative to get full details of the assignment.

    Başlama durumunda atama değerlendirmelerinin gösterildiği girişim uyumluluk sayfasının ekran görüntüsü.

  3. Girişim ataması tamamlandıktan sonra, uyumluluk sayfası güncelleştirilerek Uyumluluk durumu değeri Uyumlu olur.Once the initiative assignment has been completed, the compliance page is updated with the Compliance state of Compliant.

    Atama değerlendirmelerinin tamamlandığını ve uyumlu durumda olduğunu gösteren girişim uyumluluk sayfasının ekran görüntüsü.

  4. Girişim uyumluluğu sayfasında herhangi bir ilkeyi seçmek, bu ilkenin uyumluluk ayrıntıları sayfasını açar.Selecting any policy on the initiative compliance page opens the compliance details page for that policy. Bu sayfada uyumluluk için kaynak düzeyinde ayrıntılar sağlanır.This page provides details at the resource level for compliance.

Uyumlu olmayan veya reddedilen bir kaynağı kapsamdan dışlama ile kaldırmaRemove a non-compliant or denied resource from the scope with an exclusion

Belirli bir konum gerektirecek bir ilke girişimi atadıktan sonra, farklı bir konumda oluşturulan tüm kaynaklar reddedilir.After assigning a policy initiative to require a specific location, any resource created in a different location is denied. Bu bölümde, tek bir kaynak grubunda dışlama oluşturarak, bir kaynak oluşturmak için reddedilen isteği çözmeye adım adım ilerleyerek.In this section, you walk through resolving a denied request to create a resource by creating an exclusion on a single resource group. Dışlama, bu kaynak grubundaki ilkenin (veya girişim) zorlanmasını önler.The exclusion prevents enforcement of the policy (or initiative) on that resource group. Aşağıdaki örnekte, hariç tutulan kaynak grubunda herhangi bir konuma izin verilir.In the following example, any location is allowed in the excluded resource group. Dışlama bir aboneliğe, bir kaynak grubuna veya tek tek kaynaklara uygulanabilir.An exclusion can apply to a subscription, a resource group, or an individual resources.

Not

Bir ilke muafiyeti , bir kaynağın değerlendirmesini atla da kullanılabilir.A policy exemption can also be used skip the evaluation of a resource. Daha fazla bilgi için bkz. Azure Ilkesinde kapsam.For additional information, see Scope in Azure Policy.

Atanan bir ilke veya girişim tarafından engellenen dağıtımlar, dağıtım tarafından hedeflenen kaynak grubunda görüntülenebilir: sayfanın sol tarafındaki dağıtımlar ' ı seçin, sonra başarısız dağıtımın dağıtım adını seçin.Deployments prevented by an assigned policy or initiative can be viewed on the resource group targeted by the deployment: Select Deployments in the left side of the page, then select the Deployment Name of the failed deployment. Reddedilen kaynak, Yasaklandı durum bilgisiyle listelenir.The resource that was denied is listed with a status of Forbidden. Kaynağı reddeden ilkeyi veya girişimi ve atamayı belirlemek için başarısız ' ı seçin . Dağıtım Genel Bakış sayfasında Ayrıntılar->için buraya tıklayın .To determine the policy or initiative and assignment that denied the resource, select Failed. Click here for details -> on the Deployment Overview page. Sayfanın sağ tarafında hata bilgilerini içeren bir pencere açılır.A window opens on the right side of the page with the error information. Hata ayrıntıları ' nın altında, ilgili Ilke nesnelerinin GUID 'leri vardır.Under Error Details are the GUIDs of the related policy objects.

Bir ilke ataması tarafından reddedilen başarısız dağıtımın ekran görüntüsü.

Azure Ilkesi sayfasında: sayfanın sol tarafındaki Uyumluluk ' i seçin ve güvenli ilke Al girişim ' yı seçin.On the Azure Policy page: Select Compliance in the left side of the page and select the Get Secure policy initiative. Bu sayfada, engellenen kaynaklar için reddetme sayısında bir artış vardır.On this page, there is an increase in the Deny count for blocked resources. Olaylar sekmesinin altında, ilke tanımı tarafından reddedilen kaynağı kimin oluşturmaya veya dağıtmaya çalıştığımız hakkında ayrıntılardır.Under the Events tab are details about who tried to create or deploy the resource that was denied by the policy definition.

Girişim uyumluluğu sayfasında olaylar sekmesinin ekran görüntüsü ve ilke olay ayrıntıları.

Bu örnekte, contoso SR. Virtualization uzmanlarının biri olan Trent Baker, gerekli işleri yapıyor.In this example, Trent Baker, one of Contoso's Sr. Virtualization specialists, was doing required work. Özel durum için bir alan vermemiz gerekiyor.We need to grant Trent a space for an exception. Yeni bir kaynak grubu oluşturuldu, Locationsexcluded ve Next Bu ilke ataması için bir özel durum verin.Created a new resource group, LocationsExcluded, and next grant it an exception to this policy assignment.

Atamayı özel durumla güncelleştirmeUpdate assignment with exclusion

  1. Azure Ilkesi sayfasının sol tarafında bulunan yazma altındaki atamalar ' ı seçin.Select Assignments under Authoring in the left side of the Azure Policy page.

  2. Tüm ilke atamalarına göz atarak güvenli Ilke al atamasını açın.Browse through all policy assignments and open the Get Secure policy assignment.

  3. Üç noktayı seçerek ve dışlanacak kaynak grubunu seçerek dışlamayı ayarlayın, bu örnekte Locationsexcluded .Set the Exclusion by selecting the ellipsis and selecting the resource group to exclude, LocationsExcluded in this example. Seçili kapsama Ekle ' yi seçin ve ardından Kaydet' i seçin.Select Add to Selected Scope and then select Save.

    İlke atamasına dışlanan bir kaynak grubu eklemek için girişim atama sayfasındaki dışlamaları seçeneğinin ekran görüntüsü.

    Not

    İlke tanımına ve etkine bağlı olarak, dışlama, atama kapsamındaki bir kaynak grubu içindeki belirli kaynaklara da verilebilir.Depending on the policy definition and its effect, the exclusion could also be granted to specific resources within a resource group inside the scope of the assignment. Bu öğreticide bir reddetme etkisi kullanıldığından, zaten mevcut olan belirli bir kaynakta dışlamanın ayarlanması mantıklı değildir.As a Deny effect was used in this tutorial, it wouldn't make sense to set the exclusion on a specific resource that already exists.

  4. Gözden geçir + kaydet ' i ve ardından Kaydet' i seçin.Select Review + save and then select Save.

Bu bölümde, tek bir kaynak grubunda dışlama oluşturarak reddedilen isteği çözümlettiniz.In this section, you resolved the denied request by creating an exclusion on a single resource group.

Kaynakları temizlemeClean up resources

Bu öğreticideki kaynaklarla çalışmayı bitirdiğinizde, yukarıda oluşturulan ilke atamalarından veya tanımlardan birini silmek için aşağıdaki adımları kullanın:If you're done working with resources from this tutorial, use the following steps to delete any of the policy assignments or definitions created above:

  1. Azure Ilkesi sayfasının sol tarafında yazma ' nın altında tanımlar (veya atamayı silmeye çalışıyorsanız atamalar ) ' ı seçin.Select Definitions (or Assignments if you're trying to delete an assignment) under Authoring in the left side of the Azure Policy page.

  2. Kaldırmak istediğiniz yeni girişim veya tanımını (ya da atamayı) arayın.Search for the new initiative or policy definition (or assignment) you want to remove.

  3. Satıra sağ tıklayın ya da tanımın (veya atamanın) sonundaki üç noktayı seçip Tanımı sil (veya Atamayı sil) öğesini seçin.Right-click the row or select the ellipses at the end of the definition (or assignment), and select Delete definition (or Delete assignment).

Gözden geçirmeReview

Bu öğreticide, aşağıdaki görevleri başarıyla gerçekleştirdiniz:In this tutorial, you successfully accomplished the following tasks:

  • Gelecekte oluşturacağınız kaynaklarda bir koşulu zorunlu tutmak için ilke atandıAssigned a policy to enforce a condition for resources you create in the future
  • Birden çok kaynağın uyumluluğunu izlemek için girişim tanımı oluşturuldu ve atandıCreated and assign an initiative definition to track compliance for multiple resources
  • Uyumlu olmayan veya reddedilen kaynak sorunu çözüldüResolved a non-compliant or denied resource
  • Kuruluş genelinde yeni bir ilke uygulandıImplemented a new policy across an organization

Sonraki adımlarNext steps

İlke tanımlarının yapıları hakkında daha fazla bilgi edinmek için şu makaleyi gözden geçirin:To learn more about the structures of policy definitions, look at this article: