Entender as políticas
Aplicar uma política a seus recursos com o Azure Policy envolve as seguintes etapas de alto nível:
- Definição da política. Criar uma definição da política.
- Atribuição de política. Atribuir a definição a um escopo de recursos.
- Correção. Examinar os resultados da avaliação da política e resolver qualquer não conformidade.
Definição de política
Uma definição de política especifica os recursos a serem avaliados e as ações a serem executadas neles. Por exemplo, você poderá impedir que as VMs sejam implantadas caso tenham sido expostas a um endereço IP público. Você também pode impedir um disco rígido específico de ser implantado nas VMs para controlar os custos. As políticas são definidas no formato JSON (JavaScript Object Notation).
O exemplo a seguir define uma política que limita onde você pode implantar recursos:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
A lista a seguir é um exemplo de definições de políticas:
- SKUs de Conta de Armazenamento Permitidas (Negar): Determina se uma conta de armazenamento que está sendo implantada está dentro de um conjunto de tamanhos de SKU. Seu efeito é negar todas as contas de armazenamento que não estão de acordo com o conjunto de tamanhos de SKU definido.
- Tipo de Recurso Permitido (Negar): Define os tipos de recursos que você pode implantar. Seu efeito é negar a todos os recursos que não fazem parte dessa lista definida.
- Locais permitidos (Negar): Restringe os locais disponíveis para novos recursos. O efeito é usado para impor seus requisitos de conformidade de área geográfica.
- SKUs de Máquinas Virtuais Permitidas (Negar): especifica um conjunto de SKUs de máquina virtual que você pode implantar.
- Adicionar uma tag aos recursos (Modificar): aplica uma tag necessária e seu valor padrão se a solicitação de implantação não especificar.
- Não são tipos de recurso permitidos (Negar): Impede que uma lista de tipos de recurso seja implantada.
Atribuição de política
As definições de política, se personalizadas ou internas, precisam ser atribuídas.
Uma atribuição de política é uma definição de política que foi atribuída em um escopo específico. Esse escopo pode variar de um grupo de gerenciamento a um grupo de recursos.
Os recursos filho herdarão as atribuições de política que foram aplicadas aos recursos pai.
Isso significa que, se uma política for aplicada a um grupo de recursos, ela será usada em todos os recursos dentro desse grupo.
No entanto, você pode definir subescopos para excluir recursos de atribuições de política.
Você pode atribuir políticas por meio de:
- Portal do Azure.
- CLI do Azure.
- PowerShell.
Correção
Os recursos que não seguirem uma condição de política deployIfNotExists ou modify podem ser colocados em um estado de conformidade por meio da correção.
A correção instrui o Azure Policy a executar o efeito deployIfNotExists ou as operações de marca da política em recursos existentes.
Para minimizar o descompasso de configuração, você pode colocar recursos em conformidade usando a correção em massa automatizada, em vez de passar por eles um de cada vez.
Você pode ler mais sobre o Azure Policy na página da Web Azure Policy.