Exemples de stratégies Azure Policy courantes
Azure Policy peut vous aider à appliquer la gouvernance à vos ressources cloud. Ce service peut vous aider à créer des barrières de sécurité qui garantissent la conformité à l’échelle de l’entreprise aux exigences de la stratégie de gouvernance. Pour créer des stratégies, utilisez le portail Azure ou les cmdlets PowerShell. Cet article fournit des exemples de cmdlets PowerShell.
Notes
Avec Azure Policy, les stratégies de mise en application (DeployIfNotExists
) ne sont pas déployées automatiquement sur les machines virtuelles existantes. Une mise à jour est nécessaire pour maintenir la conformité des machines virtuelles. Pour plus d’informations, consultez Corriger les ressources non conformes avec Azure Policy.
Exemples de stratégies courantes
Les sections suivantes décrivent certaines stratégies courantes.
Restreindre les régions de la ressource
La conformité aux réglementations et aux stratégies dépend souvent du contrôle de l’emplacement physique où les ressources sont déployées. Vous pouvez utiliser une stratégie intégrée pour permettre aux utilisateurs de créer des ressources uniquement dans certaines régions Azure autorisées.
Pour trouver cette stratégie dans le portail, recherchez « emplacement » dans la page de définition de stratégie. Ou exécutez cette cmdlet pour rechercher la stratégie :
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq 'BuiltIn') `
-and ($_.Properties.displayName -like '*location*') }
Le script suivant montre comment attribuer la stratégie. Modifiez la valeur de $SubscriptionID
pour qu’elle pointe vers l’abonnement auquel vous souhaitez affecter la stratégie. Avant d’exécuter le script, utilisez l’applet de commande Connect-AzAccount
pour vous connecter.
# Specify the value for $SubscriptionID.
$SubscriptionID = <subscription ID>
$scope = "/subscriptions/$SubscriptionID"
# Replace the -Name GUID with the policy GUID you want to assign.
$AllowedLocationPolicy = Get-AzPolicyDefinition -Name "e56962a6-4747-49cd-b67b-bf8b01975c4c"
# Replace the locations with the ones you want to specify.
$policyParam = '{ "listOfAllowedLocations":{"value":["eastus","westus"]}}'
New-AzPolicyAssignment -Name "Allowed Location" -DisplayName "Allowed locations for resource creation" -Scope $scope -PolicyDefinition $AllowedLocationPolicy -Location eastus -PolicyParameter $policyParam
Vous pouvez également utiliser ce script pour appliquer les autres stratégies décrites dans cet article. Remplacez simplement le GUID de la ligne qui définit $AllowedLocationPolicy
par le GUID de la stratégie que vous souhaitez appliquer.
Bloquer certains types de ressources
Une autre stratégie intégrée couramment utilisée pour contrôler les coûts peut également l’être pour bloquer certains types de ressources.
Pour trouver cette stratégie dans le portail, recherchez « types de ressources autorisées » dans la page de définition de stratégie. Ou exécutez cette cmdlet pour rechercher la stratégie :
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq "BuiltIn") -and ($_.Properties.displayName -like "*allowed resource types") }
Une fois que vous avez identifié la stratégie que vous souhaitez utiliser, vous pouvez modifier l’exemple PowerShell dans la section Restreindre les régions de ressources pour attribuer la stratégie.
Restreindre la taille des machines virtuelles
Azure offre un large éventail de tailles de machines virtuelles qui prennent en charge différentes charges de travail. Pour contrôler votre budget, vous pouvez créer une stratégie qui autorise uniquement un sous-ensemble de tailles de machines virtuelles dans vos abonnements.
Déployer un logiciel anti-programme malveillant
Vous pouvez utiliser cette stratégie pour déployer l’extension Microsoft Antimalware avec une configuration par défaut sur les machines virtuelles qui ne sont pas protégées par un logiciel anti-programme malveillant.
Le GUID de la stratégie est 2835b622-407b-4114-9198-6f7064cbe0dc
.
Le script suivant montre comment attribuer la stratégie. Pour utiliser le script, modifiez la valeur de $SubscriptionID
pour qu’elle pointe vers l’abonnement auquel vous souhaitez affecter la stratégie. Avant d’exécuter le script, utilisez l’applet de commande Connect-AzAccount
pour vous connecter.
# Specify the value for $SubscriptionID.
$subscriptionID = <subscription ID>
$scope = "/subscriptions/$subscriptionID"
$antimalwarePolicy = Get-AzPolicyDefinition -Name "2835b622-407b-4114-9198-6f7064cbe0dc"
# Replace location "eastus" with the value that you want to use.
New-AzPolicyAssignment -Name "Deploy Antimalware" -DisplayName "Deploy default Microsoft IaaSAntimalware extension for Windows Server" -Scope $scope -PolicyDefinition $antimalwarePolicy -Location eastus -AssignIdentity
Étapes suivantes
En savoir plus sur les autres outils et services de gestion de serveur disponibles.