Usare i criteri per applicare gli standard

Completato

Si stanno organizzando meglio le risorse con i gruppi di risorse e sono stati applicati tag alle risorse per usarli nei report di fatturazione e nella soluzione di monitoraggio. Il raggruppamento delle risorse e l'assegnazione di tag hanno fatto la differenza per le risorse esistenti, ma come è possibile garantire che le nuove risorse seguano le regole? Vediamo come i criteri consentono di applicare gli standard nell'ambiente di Azure.

Informazioni su Criteri di Azure

Criteri di Azure è un servizio che consente di creare, assegnare e gestire criteri. Questi criteri applicano regole che le risorse devono seguire. I criteri possono applicare queste regole al momento della creazione delle risorse ed è possibile valutarli rispetto a risorse esistenti per offrire visibilità relativamente alla conformità.

I criteri possono imporre regole, ad esempio consentire la creazione solo di determinati tipi di risorse o consentire solo le risorse in aree di Azure specifiche. È possibile applicare le convenzioni di denominazione in tutto l'ambiente di Azure. È anche possibile stabilire che alle risorse vengano applicati tag specifici. Di seguito è illustrato il funzionamento dei criteri.

Creare un criterio

Ci si vuole assicurare che a tutte le risorse sia associato il tag Reparto e che ne venga bloccata la creazione se il tag non esiste. Sarà necessario creare una nuova definizione di criterio e assegnarla a un ambito. In questo caso l'ambito è il gruppo di risorse msftlearn-core-infrastructure-rg. È possibile creare e assegnare i criteri tramite il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure. Questo esercizio illustra la creazione di un criterio nel portale.

Creare la definizione del criterio

  1. Passare al portale di Azure in un Web browser, se non è ancora stato fatto. Nella casella di ricerca nella barra di navigazione superiore cercare Criteri e selezionare il servizio Criteri.

  2. Selezionare il riquadro Definizioni nella sezione Creazione nel menu a sinistra.

  3. Verrà visualizzato un elenco di criteri predefiniti che è possibile usare. In questo caso, verrà creato un criterio personalizzato. Selezionare + Definizione criteri nel menu in alto.

  4. Verrà visualizzata la finestra di dialogo Nuova definizione dei criteri. Per impostare Percorso definizione, selezionare Avvia selettore ambito (...) in blu. Selezionare la sottoscrizione in cui vengono archiviati i criteri, che deve essere la stessa del gruppo di risorse. Fare clic sul pulsante Seleziona.

  5. Nella finestra di dialogo Nuova definizione dei criteri immettere Imponi tag sulla risorsa nel campo Nome.

  6. Per Descrizione, immettere Questo criterio impone la presenza di un tag su una risorsa.

  7. Per Categoria selezionare Usa esistente e quindi selezionare la categoria Generale.

  8. Per Regola dei criteri, eliminare tutto il testo nella casella e incollare il codice JSON seguente:

    {
      "mode": "Indexed",
      "policyRule": {
        "if": {
          "field": "[concat('tags[', parameters('tagName'), ']')]",
          "exists": "false"
        },
        "then": {
          "effect": "deny"
        }
      },
      "parameters": {
        "tagName": {
          "type": "String",
          "metadata": {
            "displayName": "Tag Name",
            "description": "Name of the tag, such as 'environment'"
          }
        }
      }
    }
    

    La definizione dei criteri sarà simile all'esempio seguente. Fare clic su Salva per salvare la definizione dei criteri.

    Screenshot del portale di Azure che mostra la nuova finestra di dialogo di definizione dei criteri.

Creare un'assegnazione di criteri

Il criterio è stato creato, ma non è ancora effettivo. Per abilitarlo, è necessario creare un'assegnazione. In questo caso, verrà assegnato all'ambito del gruppo di risorse msftlearn-core-infrastructure-rg, in modo da essere applicabile a qualsiasi risorsa all'interno del gruppo di risorse.

  1. Tornare al riquadro Criteri e quindi selezionare Assegnazioni nella sezione Creazione a sinistra.

  2. Selezionare Assegna criteri in alto.

  3. Nel riquadro Assegna criteri si assegnerà il criterio al gruppo di risorse. In Ambito selezionare Avvia selettore ambito (...) di colore blu. Selezionare la sottoscrizione e il gruppo di risorse msftlearn-core-infrastructure-rg, quindi selezionare il pulsate Seleziona.

  4. In Definizione criteri selezionare Avvia selezione della definizione dei criteri (...) di colore blu. Nell'elenco a discesa Tipo selezionare Personalizzato, selezionare i criteri Applica tag alla risorsa creati e quindi selezionare il pulsante Aggiungi.

  5. Selezionare la scheda Parametri nella parte superiore della schermata.

  6. Nel riquadro Parametri immettere Reparto per Nome del tag.

  7. Selezionare Rivedi e crea e quindi selezionare Crea per creare l'assegnazione.

Per testare i criteri

Ora che è stato assegnato il criterio al gruppo di risorse, qualsiasi tentativo di creare una risorsa senza il tag Reparto avrà esito negativo.

Importante

Si noti che per rendere effettiva l'assegnazione dei criteri potrebbe essere necessario attendere fino a 30 minuti. A causa di questo ritardo, nella procedura seguente la convalida dei criteri potrebbe avere esito positivo, ma la distribuzione avrà comunque esito negativo. In questo caso concedere più tempo e ripetere la distribuzione.

  1. Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.

  2. Cercare e selezionare Account di archiviazione. Nei risultati selezionare Crea.

  3. Selezionare la sottoscrizione e quindi il gruppo di risorse msftlearn-core-infrastructure-rg.

  4. Per Nome account di archiviazione assegnare un nome a scelta, ma tenere presente che deve essere un nome globalmente univoco.

  5. Accettare tutte le impostazioni predefinite delle altre opzioni e fare clic su Rivedi e crea.

    La convalida della creazione della risorsa avrà esito negativo perché non c'è un tag Reparto applicato alla risorsa. Se il criterio non ha causato un errore di convalida, potrebbe essere necessario attendere alcuni minuti che venga abilitato.

    Screenshot del portale di Azure che mostra un errore di convalida dei criteri per un nuovo account di archiviazione senza tag.

    Si vedrà ora come correggere la violazione in modo da poter distribuire correttamente l'account di archiviazione.

  6. Selezionare Tag nella parte superiore del riquadro Crea account di archiviazione.

  7. Aggiungere un tag Department:Finance all'elenco.

    Screenshot del portale di Azure che mostra un nuovo tag del reparto da aggiungere durante la creazione.

  8. Fare clic su Rivedi e crea. La convalida verrà superata e se si fa clic su Crea verrà creato l'account di archiviazione.

Usare i criteri per applicare gli standard

Si è visto come è possibile usare i criteri per assicurare che le risorse abbiano i tag che consentono di organizzarle. Esistono altri modi per usare i criteri a proprio vantaggio.

È possibile usare i criteri per limitare le aree di Azure in cui è possibile distribuire le risorse. Per le organizzazioni che hanno regolamenti molto rigidi o che hanno restrizioni normative o legali su dove possono risiedere i dati, i criteri aiutano a garantire che il provisioning delle risorse non avvenga in aree geografiche che violerebbero questi requisiti.

È possibile usare i criteri per limitare i tipi di dimensioni delle macchine virtuali che possono essere distribuiti. Si potrebbero consentire macchine virtuali di grandi dimensioni nelle sottoscrizioni di produzione, assicurandosi però allo stesso tempo di mantenere costi ridotti nelle sottoscrizioni per lo sviluppo. Non autorizzando grandi dimensioni delle VM tramite i criteri nelle sottoscrizioni di sviluppo, è possibile garantire che non vengano distribuite in questi ambienti.

Si potrebbero anche usare i criteri per imporre convenzioni di denominazione. Se l'organizzazione usa convenzioni di denominazione standard specifiche, l'uso dei criteri per imporre tali convenzioni consente di mantenere uno standard di denominazione coerente per tutte le risorse di Azure.