Compartilhar via

Atualizar políticas personalizadas da zona de destino do Azure

  • Artigo

Com o tempo, as políticas personalizadas e as iniciativas de política da zona de destino do Azure são atualizadas para versões mais recentes que podem ser incorporadas ao seu ambiente do Azure. Este artigo descreve como atualizar suas políticas personalizadas e iniciativas de política da zona de destino do Azure quando versões mais recentes forem lançadas.

O artigo descreve as etapas de atualização manual em um nível geral e fornece referências sobre como lidar com atualizações para implementações modulares do Terraform e do Bicep. Para migrar políticas personalizadas da zona de aterrissagem do Azure para políticas integradas do Azure com o Bicep, consulte Migrar políticas de zona de aterrissagem do Azure para políticas integradas do Azure.

O infográfico a seguir fornece uma árvore de decisão e um fluxo de processo para atualizações de política personalizada da zona de destino do Azure: Diagrama que mostra uma árvore de decisão para o processo de atualização de política personalizada da zona de destino do Azure.

Cuidado

Quando você exclui atribuições de política existentes, seu ambiente não é protegido durante o tempo necessário para reatribuir políticas. Depois de atribuir políticas atualizadas, verifique a seção de conformidade das políticas para quaisquer recursos não conformes e corrija-os.

Etapas de atualização para ambientes de zona de destino do Azure

Esta seção descreve as etapas gerais de alto nível para atualizar suas políticas e iniciativas personalizadas da zona de destino do Azure para versões mais recentes.

Detectar atualizações

Use as seguintes opções autoritativas para determinar que uma ou mais das políticas personalizadas da zona de destino do Azure estão desatualizadas:

  • Examine periodicamente What's Newe observe que uma ou mais políticas são atualizadas, como este exemplo.
  • Use o do Visualizador de Governança do Azure e observe que uma ou mais políticas estão marcadas como desatualizadas.

Aplicar atualizações

Para determinar se as políticas personalizadas atualizadas devem ser aplicadas à implantação da zona de destino do Azure:

  1. Verifique se atualmente seu ambiente do Azure atribui políticas personalizadas desatualizadas em qualquer escopo. Se você usar o Visualizador de Governança do Azure , poderá ver suas políticas atribuídas no momento verificando o TenantSummary.
  2. Determine se alguma das políticas personalizadas desatualizadas faz parte de uma iniciativa de política personalizada da zona de destino do Azure.
  3. Determine se atualmente seu ambiente do Azure atribui alguma das iniciativas de políticas personalizadas desatualizadas em qualquer escopo.

Dependendo do resultado das investigações acima, execute as seguintes ações:

Políticas não atribuídas

  • Se a política desatualizada não estiver atribuída em seu ambiente do Azure e não fizer parte de uma iniciativa de política personalizada existente, substitua a definição da política desatualizada pela definição da política atualizada no grupo de gerenciamento raiz intermediário da zona de aterrissagem do Azure, como Contoso.

  • Se uma iniciativa política personalizada for atualizada, mas não estiver atribuída no seu ambiente Azure, substitua a iniciativa política desatualizada pela versão atualizada no grupo de gerenciamento raiz intermediário da zona de destino do Azure, por exemplo, Contoso.

Políticas com parâmetros inalterados e não fazem parte de uma iniciativa de política personalizada

Se a política de zona de destino do Azure desatualizada for atribuída a qualquer escopo em seu ambiente do Azure, não fizer parte de uma iniciativa política personalizada de zona de destino do Azure existente e os nomes e a quantidade de parâmetros não tiverem sido alterados:

  • Substitua o conteúdo de definição de política personalizada existente pelo conteúdo de definição de política personalizada atualizado no grupo de gerenciamento raiz intermediário da zona de destino do Azure, por exemplo, Contoso. Para obter diretrizes detalhadas, consulte o guia de usuário das zonas de destino do Azure .

Políticas com parâmetros alterados e não fazem parte de uma iniciativa de política personalizada

Se a política de zona de destino do Azure desatualizada for atribuída a qualquer escopo em seu ambiente do Azure, não fizer parte de uma iniciativa política personalizada de zona de destino do Azure existente e os nomes e a quantidade de parâmetros tiverem sido alterados:

  1. Capture todas as atribuições de política desatualizadas, onde elas são atribuídas e seus valores de parâmetro.
  2. Execute uma destas ações:
    • Se a atribuição de política incluir mais de uma definição de política, atualize a atribuição de política removendo a política desatualizada em todos os escopos onde está atribuída.
    • Se a atribuição de política incluir somente a política desatualizada, exclua a atribuição de política existente em todos os escopos onde estiver atribuída.
  3. Exclua a política desatualizada do grupo de gerenciamento raiz intermediário da zona de destino do Azure, por exemplo, Contoso.
  4. Importe a política atualizada para o grupo de gerenciamento raiz intermediário da zona de destino do Azure.
  5. Atualize as atribuições de política existentes ou crie novas atribuições de política, incluindo a política atualizada nos escopos pré-gravados.
  6. Depois de reatribuir a política personalizada atualizada, examine a seção de conformidade da política para validar se os recursos estão em um estado saudável.

Para obter diretrizes detalhadas, consulte o guia de usuário das zonas de destino do Azure .

Políticas com parâmetros inalterados atribuídos por meio de uma iniciativa de política personalizada

Se a política de zona de destino do Azure desatualizada fizer parte de uma iniciativa de política personalizada da zona de destino do Azure existente, será atribuída a qualquer escopo em sua propriedade do Azure e terá nomes e números de parâmetro inalterados:

  • Substitua o conteúdo de definição de política personalizada existente pelo conteúdo de definição de política personalizada atualizado. Nenhuma alteração adicional precisa ser feita na iniciativa ou atribuições de política personalizada, pois o número de parâmetro e os nomes não são alterados. Para obter diretrizes detalhadas, consulte o guia de usuário das zonas de destino do Azure .

Políticas com parâmetros alterados atribuídos por meio de uma iniciativa de política personalizada

Se a política desatualizada for parte de uma iniciativa de política personalizada existente, estiver atribuída a qualquer escopo na sua propriedade do Azure e tiver alterado os nomes e números de parâmetros:

  1. Capture todas as atribuições de política, onde elas são atribuídas e seus valores de parâmetro para a iniciativa de política personalizada.

  2. Exclua as atribuições de política existentes em todos os escopos onde estão atribuídas.

  3. Exclua a política desatualizada da iniciativa de política personalizada.

    Você não pode excluir os parâmetros da iniciativa da iniciativa política personalizada. Considere reutilização desses parâmetros.

  4. Exclua a política desatualizada do grupo de gerenciamento raiz intermediário da zona de destino do Azure, por exemplo, Contoso.

  5. Importe a política atualizada para o grupo de gerenciamento raiz intermediário da zona de destino do Azure.

  6. Adicione a política atualizada à iniciativa de política personalizada.

    • Se aplicável, reutilize os parâmetros de iniciativa anteriores.
    • Se aplicável, adicione outros parâmetros de iniciativa seguindo os padrões de nomenclatura existentes definidos pela iniciativa de política personalizada.

  7. Reatribua a iniciativa política personalizada atualizada.

  8. Depois de reatribuir a iniciativa de política personalizada atualizada, examine a seção de conformidade da política para validar se os recursos estão em um estado saudável.

Para obter diretrizes detalhadas, consulte o guia de usuário das zonas de destino do Azure .

Iniciativa política personalizada atribuída atualizada

Se uma iniciativa política personalizada de zona de destino do Azure for completamente atualizada e atribuída em qualquer escopo no seu ambiente do Azure:

  1. Capture todas as atribuições de política, onde elas são atribuídas e seus valores de parâmetro para a iniciativa política personalizada de zona de destino do Azure.

  2. Exclua as atribuições de política existentes em todos os escopos nos quais estão atribuídas.

  3. Exclua a iniciativa política personalizada desatualizada do grupo de gerenciamento raiz intermediário, por exemplo, Contoso. Antes de excluir, registre todos os nomes e IDs de definição de política personalizados, supondo que todas as definições de política personalizadas sejam up-to-date.

  4. Importe a definição de iniciativa de política personalizada atualizada com as referências de política apropriadas.

    Você pode obter iniciativas atualizadas em policySetDefinitions, com um escopo contoso genérico para políticas personalizadas. Lembre-se de alterar o escopo do contoso para o nome pseudo raiz da hierarquia do grupo de gerenciamento para cada ID de definição de política.

  5. Reatribua a iniciativa política personalizada atualizada.

  6. Depois de reatribuir a iniciativa de política personalizada atualizada, examine a seção de conformidade da política para validar se os recursos estão em um bom estado.

Para obter diretrizes detalhadas, consulte o guia de usuário das zonas de destino do Azure .

Etapas de atualização de Módulos Verificados do Azure do Terraform para zonas de destino da plataforma

Se você usa o módulo do Terraform, consulte o guia de atualização.

Etapas de atualização para implantações de módulos do Bicep

Se você usar os módulos ALZ-Bicep para gerenciar a implantação da zona de destino do Azure, esta seção fornecerá recursos para atualizar as políticas e iniciativas personalizadas da zona de destino do Azure.

Detectar atualizações com o Bicep

Use os métodos em Detectar atualizações para determinar se as políticas foram alteradas. Você também pode ver alterações nas políticas de ALZ-Bicep versões de ALZ-Bicep.

Atualizar com o Bicep

ALZ-Bicep fornece diretrizes genéricas para atualizar as políticas personalizadas da zona de destino do Azure para políticas mais recentes. Para obter mais informações, consulte Como migrar políticas personalizadas da zona de destino do Azure para políticas internas do Azure.

Próximas etapas

Se você usar o portal do Azure, o Bicep ou o Terraform para gerenciar sua infraestrutura de zona de destino do Azure, será necessário gerenciar as alterações de política ao longo do tempo. Use o fluxo neste artigo como ponto de partida para desenvolver processos em torno do gerenciamento de políticas para a implementação da zona de destino do Azure.