Comment Azure Policy fonctionne-t-il ?
Concepts d’Azure Policy
Nous abordons ici certains concepts que vous devez comprendre avant de travailler avec Azure Policy.
Stratégie : Une stratégie est la règle métier à appliquer au sein de votre organisation.
Initiative : Une initiative est un ensemble de stratégies combinées pour simplifier la gestion. Les stratégies et les initiatives sont écrites au format JSON.
Définitions : Les définitions sont la liste des initiatives et des stratégies intégrées ou personnalisées disponibles pour être affectées.
Affectations : Les affectations sont les associations d’initiatives ou de stratégies avec des étendues. Une étendue pour Azure Policy peut être un groupe d’administration, un abonnement Azure ou un groupe de ressources. Toutes les ressources enfants héritent des affectations de la ressource parente.
Exemptions : les exemptions sont utilisées pour exempter une ressource hiérarchiquement ou une ressource individuelle de l’évaluation d’initiatives ou de définitions.
Correction : une correction est un moyen de gérer des ressources non conformes. Elle vous permet de créer des tâches de correction et de garantir l’état souhaité pour les ressources.
Contrôle de version des stratégies (préversion) Les définitions et les initiatives de stratégies intégrées peuvent avoir plusieurs versions avec le même ID de définition. Le comportement par défaut est d’utiliser la dernière version majeure. Vous pouvez choisir d’accepter de nouvelles versions mineures ou de rester à une version mineure spécifique. Les versions correctives sont acceptées automatiquement pour des raisons de sécurité.
Ressources couvertes
Azure Policy couvre toutes les ressources Azure, y compris les ressources activées pour Arc. Par exemple, vous pouvez étendre la couverture de vos contrôles à des serveurs physiques Windows et Linux ainsi qu’à des machines virtuelles hébergées en dehors d’Azure, sur votre réseau d’entreprise ou d’autres fournisseurs de cloud. L’utilisation d’Azure Policy est gratuite pour les ressources Azure, mais des frais sont facturés pour une ressource Arc.
Azure Arc est un service qui vous permet de gérer des types de ressources hébergés en dehors d’Azure. Les types de ressources suivants sont pris en charge :
- Serveurs Windows ou Linux, physiques et virtuels.
- Clusters Kubernetes.
- Services de données Azure comme Azure SQL Managed Instance.
- Serveur SQL Server.
Vous pouvez également approvisionner, redimensionner, supprimer et gérer des machines virtuelles basées sur VMware vSphere ou Azure Stack HCI, et activer la fonctionnalité de libre-service de la machine virtuelle via l’accès en fonction du rôle.
Services connexes
- Azure Blueprints : une affectation de stratégie est un type d’artefact d’Azure Blueprints, ce qui signifie que vous pouvez utiliser Azure Blueprints pour attribuer des affectations de stratégie. Vous pouvez aussi affecter une stratégie via .NET, JavaScript, Python, une API REST, PowerShell, Azure CLI, un modèle ARM, Bicep et Terraform.
- Azure Resource Graph : avec Azure Resource Graph, vous pouvez exécuter des requêtes pour obtenir des informations sur les détails de conformité par affectations et par types de ressources, lister toutes les ressources non conformes, récapituler la conformité des ressources par état, etc.
- Azure Security Center : les recommandations d’Azure Security Center proviennent d’initiatives de stratégies de sécurité intégrées.
Coûts d’Azure Policy
L'utilisation d’Azure Policy pour vos ressources Azure est gratuite.
Si vous prévoyez d’utiliser Azure Policy pour couvrir une ressource Azure Arc, vous êtes facturé des frais dans certains scénarios spécifiques. Pour estimer les coûts, utilisez la tarification Azure Policy ou la calculatrice de prix.