Exemplos de Azure Policy comuns
Azure Policy pode ajudá-lo a aplicar a governação aos recursos da cloud. Este serviço pode ajudá-lo a criar proteções que garantem a conformidade a nível da empresa com os requisitos de política de governação. Para criar políticas, utilize os cmdlets do portal do Azure ou do PowerShell. Este artigo fornece exemplos de cmdlets do PowerShell.
Nota
Com Azure Policy, as políticas de imposição (DeployIfNotExists) não são implementadas automaticamente em VMs existentes. A remediação é necessária para manter as VMs em conformidade. Para obter mais informações, veja Remediar recursos não conformes com Azure Policy.
Exemplos de políticas comuns
As secções seguintes descrevem algumas políticas utilizadas frequentemente.
Restringir regiões de recursos
A conformidade regulamentar e de política depende frequentemente do controlo da localização física onde os recursos são implementados. Pode utilizar uma política incorporada para permitir que os utilizadores criem recursos apenas em determinadas regiões permitidas do Azure.
Para localizar esta política no portal, procure "localização" na página de definição de política. Em alternativa, execute este cmdlet para localizar a política:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq 'BuiltIn') `
-and ($_.Properties.displayName -like '*location*') }
O script seguinte mostra como atribuir a política. Altere o $SubscriptionID valor para apontar para a subscrição à qual pretende atribuir a política. Antes de executar o script, utilize o Connect-AzAccount cmdlet para iniciar sessão.
# Specify the value for $SubscriptionID.
$SubscriptionID = <subscription ID>
$scope = "/subscriptions/$SubscriptionID"
# Replace the -Name GUID with the policy GUID you want to assign.
$AllowedLocationPolicy = Get-AzPolicyDefinition -Name "e56962a6-4747-49cd-b67b-bf8b01975c4c"
# Replace the locations with the ones you want to specify.
$policyParam = '{ "listOfAllowedLocations":{"value":["eastus","westus"]}}'
New-AzPolicyAssignment -Name "Allowed Location" -DisplayName "Allowed locations for resource creation" -Scope $scope -PolicyDefinition $AllowedLocationPolicy -Location eastus -PolicyParameter $policyParam
Também pode utilizar este script para aplicar as outras políticas que são abordadas neste artigo. Basta substituir o GUID na linha que define $AllowedLocationPolicy pelo GUID da política que pretende aplicar.
Bloquear determinados tipos de recursos
Outra política incorporada comum que é utilizada para controlar os custos também pode ser utilizada para bloquear determinados tipos de recursos.
Para localizar esta política no portal, procure "tipos de recursos permitidos" na página de definição de política. Em alternativa, execute este cmdlet para localizar a política:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq "BuiltIn") -and ($_.Properties.displayName -like "*allowed resource types") }
Depois de identificar a política que pretende utilizar, pode modificar o exemplo do PowerShell na secção Restringir regiões de recursos para atribuir a política.
Restringir o tamanho da VM
O Azure oferece uma vasta gama de tamanhos de VM para suportar várias cargas de trabalho. Para controlar o seu orçamento, pode criar uma política que permita apenas um subconjunto de tamanhos de VM nas suas subscrições.
Implementar antimalware
Pode utilizar esta política para implementar a Extensão Microsoft Antimalware com uma configuração predefinida em VMs que não estão protegidas por antimalware.
O GUID da política é 2835b622-407b-4114-9198-6f7064cbe0dc.
O script seguinte mostra como atribuir a política. Para utilizar o script, altere o $SubscriptionID valor para apontar para a subscrição à qual pretende atribuir a política. Antes de executar o script, utilize o Connect-AzAccount cmdlet para iniciar sessão.
# Specify the value for $SubscriptionID.
$subscriptionID = <subscription ID>
$scope = "/subscriptions/$subscriptionID"
$antimalwarePolicy = Get-AzPolicyDefinition -Name "2835b622-407b-4114-9198-6f7064cbe0dc"
# Replace location "eastus" with the value that you want to use.
New-AzPolicyAssignment -Name "Deploy Antimalware" -DisplayName "Deploy default Microsoft IaaSAntimalware extension for Windows Server" -Scope $scope -PolicyDefinition $antimalwarePolicy -Location eastus -AssignIdentity
Passos seguintes
Saiba mais sobre outras ferramentas e serviços de gestão de servidores disponíveis.