Jak działa usługa Azure Policy

Ukończone

Pojęcia dotyczące usługi Azure Policy

W tym miejscu omówimy pewne pojęcia, które należy zrozumieć z wyprzedzeniem, aby pracować z usługą Azure Policy.

Zasady: Zasady są regułą biznesową, która ma być stosowana w organizacji.

Inicjatywa: Inicjatywa to zestaw zasad połączonych w celu uproszczenia zarządzania. Zasady i inicjatywy są zapisywane w formacie JSON.

Definicje: Definicje są listą wbudowanych lub niestandardowych inicjatyw i zasad, które mają być przypisane.

Przypisania: przypisania są skojarzeniami inicjatyw lub zasad z zakresami. Zakresem usługi Azure Policy może być grupa zarządzania, subskrypcja platformy Azure lub grupa zasobów. Wszystkie zasoby podrzędne dziedziczą przypisania zasobu nadrzędnego.

Wykluczenia:: Wykluczenia są używane do wykluczania zasobów hierarchicznie lub pojedynczego zasobu z oceny inicjatyw lub definicji.

Korygowanie: Korygowanie to sposób obsługi niezgodnych zasobów. Umożliwia tworzenie zadań korygowania i zapewnienie żądanego stanu zasobów.

Wbudowane definicje zasad i inicjatywy dotyczące wersji zasad (wersja zapoznawcza) mogą mieć wiele wersji z tym samym identyfikatorem definicji. Wartość domyślna to użycie najnowszej wersji głównej. Możesz zaakceptować nowe wersje pomocnicze lub przypiąć do określonej wersji pomocniczej. Wersje poprawek są automatycznie akceptowane do celów zabezpieczeń.

Uwzględnione zasoby

Zasady platformy Azure obejmują wszystkie zasoby platformy Azure, w tym zasoby z obsługą usługi Arc. Można na przykład rozszerzyć zakres kontroli nad serwerami fizycznymi z systemami Windows i Linux oraz maszynami wirtualnymi hostowanymi poza platformą Azure w sieci firmowej lub innymi dostawcami usług w chmurze. Korzystanie z usługi Azure Policy jest bezpłatne dla zasobów platformy Azure, ale jest naliczana opłata za zasób usługi Arc.

Azure Arc to usługa, która umożliwia zarządzanie typami zasobów hostowanymi poza platformą Azure. Obsługiwane są następujące typy zasobów:

• Serwery fizyczne i wirtualne z systemem Windows lub Linux.
• Klastry Kubernetes.
• Usługi danych platformy Azure, takie jak Azure SQL Managed Instance.
• SQL Server.

Możesz również aprowizować, zmieniać rozmiar, usuwać maszyny wirtualne i zarządzać nimi na podstawie oprogramowania VMware vSphere lub Azure Stack HCI oraz włączyć samoobsługę maszyn wirtualnych za pośrednictwem dostępu opartego na rolach.

Powiązane usługi

• Azure Blueprints: Przypisanie zasad jest typem artefaktu z usługi Azure Blueprints, co oznacza, że do przypisywania przypisań zasad można użyć usługi Azure Blueprints. Zasady można przypisać za pomocą platformy .NET, JavaScript, Python, interfejsu API REST, programu PowerShell, interfejsu wiersza polecenia platformy Azure, szablonu arm, Bicep i narzędzia Terraform.
• Azure Resource Graph: za pomocą usługi Azure Resource Graph można uruchamiać zapytania, aby uzyskać informacje o zgodności według przypisań i typów zasobów, wyświetlić listę wszystkich niezgodnych zasobów, podsumować zgodność zasobów według stanu i nie tylko.
• Azure Security Center: rekomendacje usługi Azure Security Center pochodzą z wbudowanych inicjatyw zasad zabezpieczeń.

Koszty usługi Azure Policy

Korzystanie z usługi Azure Policy dla zasobów platformy Azure nie kosztuje.

Jeśli planujesz użycie usługi Azure Policy do pokrycia zasobu usługi Azure Arc, istnieją konkretne scenariusze, w których naliczana jest opłata. Aby oszacować koszty, użyj cennika usługi Azure Policy lub kalkulatora cen.