Esempi di Criteri di Azure comuni
Criteri di Azure può risultare utile nell'applicazione della governance alle risorse cloud. Questo servizio consente di creare protezioni che garantiscono la conformità a livello aziendale ai requisiti dei criteri di governance. Per creare criteri, usare il portale di Azure o i cmdlet di PowerShell. Questo articolo include esempi di cmdlet di PowerShell.
Nota
Con Criteri di Azure, i criteri di imposizione (DeployIfNotExists) non vengono distribuiti automaticamente nelle macchine virtuali esistenti. La correzione è necessaria per mantenere la conformità delle macchine virtuali. Per altre informazioni, vedere Correggere le risorse non conformi con Criteri di Azure.
Esempi di criteri comuni
Le sezioni seguenti descrivono alcuni criteri di uso comune.
Limitare le aree delle risorse
La conformità alle normative e ai criteri dipende spesso dal controllo della posizione fisica in cui vengono distribuite le risorse. È possibile usare criteri predefiniti per consentire agli utenti di creare risorse solo in determinate aree di Azure consentite.
Per trovare questi criteri nel portale, cercare "posizione" nella pagina di definizione dei criteri. Oppure eseguire questo cmdlet per trovare i criteri:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq 'BuiltIn') `
-and ($_.Properties.displayName -like '*location*') }
Lo script seguente illustra come assegnare i criteri. Modificare il valore $SubscriptionID in modo che punti alla sottoscrizione a cui si vuole assegnare i criteri. Prima di eseguire questo script, usare il cmdlet Connect-AzAccount per accedere.
# Specify the value for $SubscriptionID.
$SubscriptionID = <subscription ID>
$scope = "/subscriptions/$SubscriptionID"
# Replace the -Name GUID with the policy GUID you want to assign.
$AllowedLocationPolicy = Get-AzPolicyDefinition -Name "e56962a6-4747-49cd-b67b-bf8b01975c4c"
# Replace the locations with the ones you want to specify.
$policyParam = '{ "listOfAllowedLocations":{"value":["eastus","westus"]}}'
New-AzPolicyAssignment -Name "Allowed Location" -DisplayName "Allowed locations for resource creation" -Scope $scope -PolicyDefinition $AllowedLocationPolicy -Location eastus -PolicyParameter $policyParam
È anche possibile usare questo script per applicare gli altri criteri descritti in questo articolo. È sufficiente sostituire il GUID nella riga che imposta $AllowedLocationPolicy con il GUID dei criteri da applicare.
Bloccare determinati tipi di risorse
Un altro criterio predefinito comune usato per controllare i costi può essere usato anche per bloccare determinati tipi di risorse.
Per trovare questi criteri nel portale, cercare "tipi di risorse consentiti" nella pagina di definizione dei criteri. Oppure eseguire questo cmdlet per trovare i criteri:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq "BuiltIn") -and ($_.Properties.displayName -like "*allowed resource types") }
Dopo aver identificato i criteri da usare, è possibile modificare l'esempio di PowerShell della sezione Limitare le aree delle risorse per assegnare i criteri.
Limitare le dimensioni della macchina virtuale
Azure offre un'ampia gamma di dimensioni delle macchine virtuali per supportare diversi carichi di lavoro. Per controllare il budget, è possibile creare un criterio che consenta solo un subset di dimensioni delle macchine virtuali nelle sottoscrizioni.
Distribuire l'antimalware
È possibile usare questo criterio per distribuire l'estensione Microsoft Antimalware con una configurazione predefinita nelle macchine virtuali non protette da antimalware.
Il GUID del criterio è 2835b622-407b-4114-9198-6f7064cbe0dc.
Lo script seguente illustra come assegnare i criteri. Per usare lo script, modificare il valore $SubscriptionID in modo che punti alla sottoscrizione a cui si vuole assegnare i criteri. Prima di eseguire questo script, usare il cmdlet Connect-AzAccount per accedere.
# Specify the value for $SubscriptionID.
$subscriptionID = <subscription ID>
$scope = "/subscriptions/$subscriptionID"
$antimalwarePolicy = Get-AzPolicyDefinition -Name "2835b622-407b-4114-9198-6f7064cbe0dc"
# Replace location "eastus" with the value that you want to use.
New-AzPolicyAssignment -Name "Deploy Antimalware" -DisplayName "Deploy default Microsoft IaaSAntimalware extension for Windows Server" -Scope $scope -PolicyDefinition $antimalwarePolicy -Location eastus -AssignIdentity
Passaggi successivi
Informazioni su altri strumenti e servizi di gestione server disponibili.