Partager via


Tutoriel : Interdire les types de ressources dans votre environnement cloud

L’un des objectifs populaires de la gouvernance cloud est de limiter les types de ressources autorisés dans l’environnement. Les motivations des entreprises pour la restriction de types de ressource sont nombreuses. Par exemple, les types de ressources peuvent être coûteux ou aller à l’encontre des normes et stratégies métier. Au lieu d’utiliser de nombreuses stratégies pour des types de ressources individuels, Azure Policy propose deux stratégies intégrées pour atteindre cet objectif :

Nom
(Portail Azure)
Description Effet Version
(GitHub)
Types de ressources autorisés Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut déployer. Seuls les types de ressources prenant en charge « tags » et « location » sont affectés par cette stratégie. Pour restreindre toutes les ressources, dupliquez cette stratégie et affectez la valeur « All » à « mode ». deny 1.0.0
Types de ressources non autorisés Limitez les types de ressources qui peuvent être déployés dans votre environnement. La limitation des types de ressources peut réduire la complexité et la surface d’attaque de votre environnement, tout en aidant à gérer les coûts. Les résultats de conformité s’affichent uniquement pour les ressources non conformes. Audit, Refuser, Désactivé 2.0.0

Dans ce tutoriel, vous appliquez la stratégie Types de ressources non autorisés et gérez les types de ressources à grande échelle via le portail Microsoft Azure.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Affecter la définition de stratégie

La première étape de la désactivation des types de ressources consiste à affecter la définition de stratégie Types de ressources non autorisés.

  1. Accédez à Type de ressource non autorisés dans le portail Azure.

    Screenshot of definition details screen for 'Not allowed resource types' policy.

  2. Sélectionnez le bouton Attribuer en haut de la page.

  3. Sous l’onglet Informations de base, définissez l’étendue en sélectionnant les points de suspension et en choisissant un groupe d’administration, un abonnement ou un groupe de ressources. Vérifiez que l’étendue sélectionnée a au moins une sous-étendue. Cliquez ensuite sur Sélectionner dans le bas de la page Étendue.

    Cet exemple utilise l’abonnement Contoso.

    Remarque

    Si vous attribuez cette définition de stratégie à l’étendue de votre groupe d’administration racine, le portail peut détecter les types de ressources non autorisés et les désactiver dans la vue Tous les services afin que les utilisateurs du portail soient conscients de la restriction avant de tenter de déployer une ressource non autorisée.

  4. Vous pouvez exclure des ressources en fonction de l’étendue. Les exclusions commencent à un niveau inférieur à celui de l’étendue. Les exclusions étant facultatives, laissez ce champ vide pour l’instant.

  5. Le Nom de l’attribution est automatiquement rempli avec le nom de définition de stratégie que vous avez sélectionné, mais vous pouvez le modifier. Vous pouvez également ajouter une description facultative pour fournir plus d’informations sur cette attribution de stratégie.

  6. Laissez Application de la stratégie définie sur Activée. Le paramètre Désactivée permet de tester le résultat de la stratégie sans en déclencher l’effet. Pour plus d’informations, consultez Mode de mise en conformité.

  7. Affectée par est automatiquement renseigné en fonction de l’utilisateur connecté. Ce champ étant facultatif, vous pouvez entrer des valeurs personnalisées.

  8. Sélectionnez l’onglet Paramètres en haut de l’Assistant. Ce didacticiel ignore l’onglet Avancé.

  9. Pour le paramètre Types de ressources non autorisés, utilisez la liste déroulante pour rechercher et sélectionner des types de ressources qui ne doivent pas être autorisés dans votre environnement cloud.

  10. Cette définition de stratégie n’a pas les effets modify ou deployIfNotExists, et elle ne prend donc pas en charge les tâches de correction. Pour ce tutoriel, ignorez l’onglet Correction.

  11. Sélectionnez l’onglet Messages de non-conformité en haut de l’Assistant.

  12. Définissez le message de non-conformité sur Ce type de ressource n’est pas autorisé. Ce message personnalisé s’affiche quand une ressource est refusée ou pour les ressources non conformes durant une évaluation régulière.

  13. Sélectionnez l’onglet Vérifier + créer en haut de l’Assistant.

  14. Passez en revue vos sélections, puis sélectionnez Créer au bas de la page.

Afficher les types de ressources désactivés dans le portail Azure

Cette étape s’applique uniquement lorsque la stratégie a été affectée à l’étendue du groupe d’administration racine.

Maintenant que vous avez affecté une définition de stratégie intégrée, accédez à Tous les services. Le portail Azure est conscient des types de ressources non autorisés de cette attribution de stratégie et les désactive dans la pageTous les services. L’option Créer n’est pas disponible pour les types de ressources désactivés.

Remarque

Si vous attribuez cette définition de stratégie à votre groupe d’administration racine, les utilisateurs voient la notification suivante lorsqu’ils se connectent pour la première fois ou si la stratégie change après leur connexion :

Stratégie modifiée par l’administrateur Votre administrateur a apporté des modifications aux stratégies de votre compte. Il est recommandé d’actualiser le portail pour utiliser les stratégies mises à jour.

Screenshot of disallowed resources in All Services blade.

Créer une exemption

Supposons maintenant qu’une sous-étendue soit autorisé à désactiver les types de ressources par cette stratégie. Nous allons créer une exemption sur cette étendue afin que les ressources restreintes puissent être déployées dans cette sous-étendue.

Avertissement

Si vous attribuez cette définition de stratégie à votre étendue de groupe d’administration racine, le portail Azure ne peut pas détecter les exemptions à des étendues de niveau inférieur. Les ressources non autorisées par l’attribution de stratégie s’affichent comme désactivées dans la liste Tous les services et l’option Créer n’est pas disponible. Toutefois, vous pouvez créer des ressources dans l’étendue exemptée avec des clients tels qu’Azure CLI, Azure PowerShell ou des modèles Azure Resource Manager.

  1. Sélectionnez Affectations sous Création dans la partie gauche de la page Azure Policy.

  2. Recherchez l’attribution de stratégie que vous avez créée.

  3. Sélectionnez le bouton Créer une exemption en haut de la page.

  4. Dans l’onglet Informations de base, sélectionnez l’étendue de l’exemption, qui est la sous-étendue qui doit être autorisée à avoir des ressources restreintes par cette attribution de stratégie.

  5. Renseignez le nom de l’exemption avec le texte souhaité et laissez Catégorie d’exemption comme valeur par défaut pour Renonciation. Ne basculez pas la sélection sur le paramètre d’expiration de l’exemption, car cette exemption n’est pas définie pour expirer. Ajoutez éventuellement une description d’exemption, puis sélectionnez Vérifier + créer.

  6. Ce tutoriel contourne l’onglet Avancé. Sous l’onglet Vérifier + créer, sélectionnez Créer.

  7. Pour afficher l’exemption, sélectionnez Exemptions sous Création dans la partie gauche de la page Azure Policy.

À présent, votre sous-étendue peut avoir les types de ressources interdits par la stratégie.

Nettoyer les ressources

Si vous avez fini d’utiliser les ressources de ce tutoriel, effectuez les étapes suivantes pour supprimer les affectations ou définitions de stratégie créées dans ce tutoriel :

  1. Sélectionnez Définitions (ou Affectations si vous essayez de supprimer une affectation) sous Création dans la partie gauche de la page Azure Policy.

  2. Recherchez la nouvelle définition d’initiative ou de stratégie (ou affectation) à supprimer.

  3. Cliquez avec le bouton droit sur la liste ou cliquez sur le bouton de sélection en fin de définition (ou d’affectation), puis sélectionnez Supprimer la définition (ou Supprimer l’affectation).

Révision

Dans ce didacticiel, vous avez effectué avec succès les tâches suivantes :

  • Affecté à la stratégie intégrée Types de ressources non autorisés pour refuser la création de types de ressources non autorisés
  • Création d’une exemption pour cette attribution de stratégie au niveau d’un sous-étendue

Avec cette stratégie intégrée, vous avez spécifié des types de ressources qui ne sont pas autorisés. L’autre approche plus restrictive consiste à spécifier les types de ressources autorisés à l’aide de la stratégie intégrée Types de ressources autorisés.

Remarque

La fonction Tous les services du portail Azure désactive uniquement les ressources non spécifiées dans la stratégie de type de ressource autorisée si la valeur mode est définie sur All et que la stratégie est affectée au groupe d’administration racine. Cela est dû au fait qu’elle vérifie tous les types de ressources indépendamment de tags et locations. Si vous souhaitez que le portail ait ce comportement, dupliquez la stratégie intégrée Types de ressources autorisés et passez son mode de Indexed à All, puis affectez-la à l’étendue du groupe d’administration racine.

Étapes suivantes

Pour en savoir plus sur les structures des définitions de stratégie, des affectations et des exemptions, consultez les articles suivants :

Pour afficher la liste complète des exemples de stratégie intégrés, consultez cet article :