Omówienie zasad
Zastosowanie zasad do zasobów za pomocą usługi Azure Policy obejmuje następujące kroki wysokiego poziomu:
- Definicja zasad Tworzenie definicji zasad.
- Przypisanie zasad. Przypisz definicję do zakresu zasobów.
- Korygowanie. Przejrzyj wyniki oceny zasad i rozwiąż wszystkie niezgodności.
Definicja zasad
Definicja zasad określa zasoby, które mają być oceniane, oraz akcje do wykonania. Można na przykład uniemożliwić wdrażanie maszyn wirtualnych, jeśli zostaną uwidocznione na publicznym adresie IP. Można również zawierać określony dysk twardy do wdrażania maszyn wirtualnych w celu kontrolowania kosztów. Zasady są definiowane w formacie JavaScript Object Notation (JSON).
W poniższym przykładzie zdefiniowano zasady ograniczające sposób wdrażania zasobów:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
Poniższa lista zawiera przykładowe definicje zasad:
- Dozwolone jednostki SKU konta magazynu (odmów): określa, czy wdrażane konto magazynu znajduje się w zestawie rozmiarów jednostek SKU. Jej efektem jest odrzucanie wszystkich kont magazynu, które nie są zgodne z zestawem zdefiniowanych rozmiarów SKU.
- Dozwolony typ zasobu (odmowa): definiuje typy zasobów, które można wdrożyć. Jej efektem jest odrzucanie wszystkich zasobów, które nie należą do tej zdefiniowanej listy.
- Dozwolone lokalizacje (odmów): ogranicza dostępne lokalizacje dla nowych zasobów. Jej efekt jest używany do wymuszania wymagań dotyczących zgodności obszarów geograficznych.
- Dozwolone jednostki SKU maszyny wirtualnej (odmów): określ zestaw jednostek SKU maszyny wirtualnej, które można wdrożyć.
- Dodaj tag do zasobów (Modyfikuj): stosuje wymagany tag i jego wartość domyślną, jeśli żądanie wdrożenia nie określi go.
- Niedozwolone typy zasobów (Odmów): uniemożliwia wdrażanie listy typów zasobów.
Przypisanie zasad
Definicje zasad, niezależnie od tego, czy są niestandardowe, czy wbudowane, muszą być przypisane.
Przypisanie zasad to definicja zasad przypisana do określonego zakresu. Zakresy mogą mieścić się w zakresie od grupy zarządzania do grupy zasobów.
Zasoby podrzędne będą dziedziczyć wszystkie przypisania zasad zastosowane do ich rodziców.
Oznacza to, że jeśli zasady są stosowane do grupy zasobów, są używane do wszystkich zasobów w tej grupie zasobów.
Można jednak zdefiniować podzakresy wykluczające zasoby z przypisań zasad.
Zasady można przypisywać za pomocą następujących funkcji:
- Użycie witryny Azure Portal.
- Interfejs wiersza polecenia platformy Azure.
- Program PowerShell.
Korekty
Zasoby, które nie mogą być zgodne z elementem deployIfNotExists lub zmodyfikować warunek zasad, można umieścić w stanie zgodnym za pomocą korygowania.
Korygowanie powoduje, że usługa Azure Policy uruchamia efekt deployIfNotExists lub operacje tagów zasad w istniejących zasobach.
Aby zminimalizować dryf konfiguracji, można zapewnić zgodność zasobów przy użyciu zautomatyzowanego korygowania zbiorczego zamiast przechodzić przez nie pojedynczo.
Więcej informacji na temat usługi Azure Policy można uzyskać na stronie internetowej usługi Azure Policy .