Przykład strategii Canada Federal PBMM
Ważne
11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:
Przykład strategii Canada Federal PBMM zawiera zabezpieczenia ładu przy użyciu usługi Azure Policy , które ułatwiają ocenę określonych kontrolek Canada Federal PBMM . Ta strategia ułatwia klientom wdrażanie podstawowego zestawu zasad dla dowolnej architektury wdrożonej przez platformę Azure, która musi implementować mechanizmy kontroli dla programu Canada Federal PBMM.
Mapowanie kontrolek
Mapowanie kontrolek usługi Azure Policy zawiera szczegółowe informacje na temat definicji zasad zawartych w tej strategii i sposobu mapowania tych definicji zasad na kontrolki w strukturze Canada Federal PBMM. Po przypisaniu do architektury zasoby są oceniane przez usługę Azure Policy pod kątem niezgodności z przypisanymi definicjami zasad. Aby uzyskać więcej informacji, zobacz Azure Policy.
Wdróż
Aby wdrożyć przykład strategii Azure Blueprints Canada Federal PBMM, należy wykonać następujące kroki:
- Tworzenie nowej strategii na podstawie przykładu
- Oznaczanie swojej kopii przykładu jako opublikowanej
- Przypisywanie kopii strategii do istniejącej subskrypcji
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Tworzenie strategii na podstawie przykładu
Najpierw zaimplementuj przykład strategii, tworząc nową strategię w środowisku przy użyciu przykładu jako wzorca.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Na stronie Wprowadzenie z lewej strony wybierz przycisk Utwórz w obszarze Tworzenie strategii.
Znajdź przykład strategii Canada Federal PBMM w obszarze Inne przykłady i wybierz pozycję Użyj tego przykładu.
Wprowadź podstawowe informacje dotyczące tego przykładu strategii:
- Nazwa strategii: podaj nazwę kopii przykładu strategii Canada Federal PBMM.
- Lokalizacja definicji: użyj wielokropka i wybierz grupę zarządzania, aby zapisać kopię przykładu.
Wybierz kartę Artefakty w górnej części strony lub Dalej: Artefakty w dolnej części strony.
Przejrzyj listę artefaktów uwzględnionych w przykładzie strategii. Wiele artefaktów ma parametry, które zdefiniujemy później. Po zakończeniu przeglądania przykładu strategii wybierz pozycję Zapisz wersję roboczą.
Publikowanie kopii przykładu
Twoja kopia przykładu strategii została utworzona w środowisku. Została ona utworzona w trybie wersji roboczej i musi zostać opublikowana, zanim będzie można ją przypisać i wdrożyć. Kopię przykładu strategii można dostosować do środowiska i potrzeb, ale ta modyfikacja może odejść od dostosowania do kontrolek Canada Federal PBMM.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć kopię przykładowej strategii, a następnie wybierz ją.
W górnej części strony wybierz pozycję Publikuj strategię. Na nowej stronie, po prawej, w polu Wersja podaj wersję kopii przykładu strategii. Ta właściwość jest przydatna w przypadku dokonywania późniejszych modyfikacji. Podaj uwagi dotyczące zmian, takie jak "Pierwsza wersja opublikowana z przykładu strategii Canada Federal PBMM". Następnie wybierz pozycję Publikuj w dolnej części strony.
Przypisywanie kopii przykładu
Po pomyślnym opublikowaniu kopii przykładu strategii można ją przypisać do subskrypcji w grupie zarządzania, do której została zapisana. W tym kroku udostępniane są parametry, dzięki którym każde wdrożenie kopii przykładowej strategii będzie unikatowe.
W okienku po lewej stronie wybierz pozycję Wszystkie usługi. Wyszukaj i wybierz pozycję Strategie.
Po lewej stronie wybierz stronę Definicje strategii. Użyj filtrów, aby znaleźć kopię przykładowej strategii, a następnie wybierz ją.
Wybierz pozycję Przypisz strategię w górnej części strony definicji strategii.
Podaj wartości parametrów dla przypisania strategii:
Podstawy
- Subskrypcje: wybierz co najmniej jedną subskrypcję, która znajduje się w grupie zarządzania, do której zapisano kopię przykładu strategii. W przypadku wybrania więcej niż jednej subskrypcji dla każdej z nich zostanie utworzone przypisanie przy użyciu wprowadzonych parametrów.
- Nazwa przypisania: nazwa jest wstępnie wypełniona na podstawie nazwy strategii. Jeśli chcesz, możesz ją zmienić lub pozostawić.
- Lokalizacja: wybierz region, w którym ma zostać utworzona tożsamość zarządzana. Usługa Azure Blueprints używa tej tożsamości zarządzanej do wdrożenia wszystkich artefaktów w przypisanej strategii. Aby dowiedzieć się więcej, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
- Wersja definicji strategii: wybierz opublikowaną wersję kopii przykładu strategii.
Zablokuj przypisanie
Wybierz ustawienie blokowania strategii dla danego środowiska. Aby uzyskać więcej informacji, zobacz blokowanie zasobów strategii.
Tożsamość zarządzana
Pozostaw domyślną opcję tożsamości zarządzanej przypisanej przez system.
Parametry artefaktu
Parametry zdefiniowane w tej sekcji mają zastosowanie do artefaktu w ramach którego zostały zdefiniowane. Te parametry są parametrami dynamicznymi, ponieważ są definiowane podczas przypisywania strategii. Aby uzyskać pełną listę lub parametry artefaktu i ich opisy, zobacz Tabela parametrów artefaktu.
Po wprowadzeniu wszystkich parametrów wybierz pozycję Przypisz w dolnej części strony. Tworzone jest przypisanie strategii i rozpoczyna się wdrażanie artefaktu. Wdrożenie trwa około godziny. Aby sprawdzić stan wdrożenia, otwórz przypisanie strategii.
Ostrzeżenie
Usługa Azure Blueprints i wbudowane przykłady strategii są udostępniane bezpłatnie. Opłaty za zasoby platformy Azure są ustalane według produktu. Skorzystaj z kalkulatora cen, aby oszacować koszt działania zasobów wdrożonych za pomocą tego przykładu strategii.
Tabela parametrów artefaktów
Poniższa tabela zawiera listę parametrów artefaktów strategii:
| Nazwa artefaktu | Typ artefaktu | Nazwa parametru | opis |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Linux | Przypisanie zasad | Obszar roboczy usługi Log Analytics dla maszyn wirtualnych z systemem Linux | Aby uzyskać więcej informacji, zobacz Tworzenie obszaru roboczego usługi Log Analytics w Azure Portal. |
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Linux | Przypisanie zasad | Opcjonalnie: lista obrazów maszyn wirtualnych z obsługiwanym systemem operacyjnym Linux w celu dodania do zakresu | Pusta tablica może służyć do wskazania żadnych parametrów opcjonalnych: [] |
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Windows | Przypisanie zasad | Opcjonalnie: lista obrazów maszyn wirtualnych z obsługiwanym systemem operacyjnym Windows w celu dodania do zakresu | Pusta tablica może służyć do wskazania żadnych parametrów opcjonalnych: [] |
| [Wersja zapoznawcza]: Wdrażanie agenta usługi Log Analytics dla maszyn wirtualnych z systemem Windows | Przypisanie zasad | Obszar roboczy usługi Log Analytics dla maszyn wirtualnych z systemem Windows | Aby uzyskać więcej informacji, zobacz Tworzenie obszaru roboczego usługi Log Analytics w Azure Portal. |
| [Wersja zapoznawcza]: Inspekcja kontrolek Canada Federal PBMM i wdrażanie określonych rozszerzeń maszyn wirtualnych w celu obsługi wymagań inspekcji | Przypisanie zasad | Identyfikator obszaru roboczego usługi Log Analytics, dla którego należy skonfigurować maszyny wirtualne | Jest to identyfikator (GUID) obszaru roboczego usługi Log Analytics, dla którego należy skonfigurować maszyny wirtualne. |
| [Wersja zapoznawcza]: Inspekcja kontrolek Canada Federal PBMM i wdrażanie określonych rozszerzeń maszyn wirtualnych w celu obsługi wymagań inspekcji | Przypisanie zasad | Lista typów zasobów, które powinny mieć włączone dzienniki diagnostyczne | Lista typów zasobów do inspekcji, jeśli ustawienie dziennika diagnostycznego nie jest włączone. Dopuszczalne wartości można znaleźć w artykule Schematy dzienników diagnostycznych usługi Azure Monitor. |
| [Wersja zapoznawcza]: Inspekcja kontrolek Canada Federal PBMM i wdrażanie określonych rozszerzeń maszyn wirtualnych w celu obsługi wymagań inspekcji | Przypisanie zasad | Grupa administratorów | Grupa. Przykład: Administrator; myUser1; myUser2 |
| [Wersja zapoznawcza]: Inspekcja kontrolek Canada Federal PBMM i wdrażanie określonych rozszerzeń maszyn wirtualnych w celu obsługi wymagań inspekcji | Przypisanie zasad | Lista użytkowników, którzy powinni być uwzględnieni w grupie Administratorzy maszyn wirtualnych z systemem Windows | Rozdzielana średnikami lista członków, które powinny być uwzględnione w grupie lokalnej Administratorzy. Przykład: Administrator; myUser1; myUser2 |
| Wdrażanie zaawansowanej ochrony przed zagrożeniami na kontach magazynu | Przypisanie zasad | Efekt | Informacje na temat efektów zasad można znaleźć w artykule Omówienie efektów usługi Azure Policy. |
| Wdrażanie inspekcji na serwerach SQL | Przypisanie zasad | Wartość w dniach okresu przechowywania (0 wskazuje nieograniczony okres przechowywania) | Dni przechowywania (opcjonalnie, 180 dni, jeśli nie określono) |
| Wdrażanie inspekcji na serwerach SQL | Przypisanie zasad | Nazwa grupy zasobów dla konta magazynu na potrzeby inspekcji programu SQL Server | Inspekcja zapisuje zdarzenia bazy danych w dzienniku inspekcji na koncie usługi Azure Storage (konto magazynu jest tworzone w każdym regionie, w którym tworzony jest program SQL Server współużytkowany przez wszystkie serwery w tym regionie). Ważne — w celu prawidłowego działania inspekcji nie usuwaj ani nie zmieniaj nazwy grupy zasobów ani kont magazynu. |
| Wdrażanie ustawień diagnostycznych dla sieciowych grup zabezpieczeń | Przypisanie zasad | Prefiks konta magazynu dla diagnostyki sieciowej grupy zabezpieczeń | Ten prefiks jest połączony z sieciową lokalizacją grupy zabezpieczeń w celu utworzenia nazwy utworzonego konta magazynu. |
| Wdrażanie ustawień diagnostycznych dla sieciowych grup zabezpieczeń | Przypisanie zasad | Nazwa grupy zasobów dla konta magazynu dla diagnostyki sieciowej grupy zabezpieczeń (musi istnieć) | Grupa zasobów, w której jest tworzone konto magazynu. Ta grupa zasobów musi już istnieć. |
Następne kroki
Dodatkowe artykuły na temat strategii i sposobu ich używania:
- Uzyskaj informacje na temat cyklu życia strategii.
- Dowiedz się, jak używać parametrów statycznych i dynamicznych.
- Dowiedz się, jak dostosować kolejność sekwencjonowania strategii.
- Dowiedz się, jak używać blokowania zasobów strategii.
- Dowiedz się, jak zaktualizować istniejące przypisania.