Exemplo de plano PBMM Federal do Canadá
Importante
Em 11 de julho de 2026, os Blueprints (Preview) serão preteridos. Migre suas definições e atribuições de blueprint existentes para Especificações de modelo e Pilhas de implantação. Os artefatos do Blueprint devem ser convertidos em modelos JSON ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso ARM, consulte:
O exemplo de blueprint do PBMM Federal do Canadá fornece guarda-corpos de governança usando a Política do Azure que ajudam a avaliar controles PBMM federais específicos do Canadá. Este plano ajuda os clientes a implantar um conjunto principal de políticas para qualquer arquitetura implantada no Azure que deve implementar controles para o PBMM Federal do Canadá.
Mapeamento de controlo
O mapeamento de controle de Política do Azure fornece detalhes sobre as definições de política incluídas neste plano e como essas definições de política são mapeadas para os controles na estrutura do PBMM Federal do Canadá. Quando atribuídos a uma arquitetura, os recursos são avaliados pela Política do Azure quanto à não conformidade com as definições de política atribuídas. Para obter mais informações, veja Azure Policy.
Implementar
Para implantar o exemplo de blueprint do Azure Blueprints Canada Federal PBMM, as seguintes etapas devem ser executadas:
- Criar um esquema novo a partir do exemplo
- Marcar a cópia do exemplo como Publicada
- Atribuir a cópia do esquema a uma subscrição já existente
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Criar esquema a partir do exemplo
Primeiro, crie um esquema novo no ambiente utilizando o exemplo como ponto de partida, para implementar o esquema de exemplo.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Na página Começar à esquerda, selecione o botão Criar em Criar um esquema.
Encontre o exemplo de blueprint do PBMM Federal do Canadá em Outras amostras e selecione Usar este exemplo.
Introduza as Informações Básicas do esquema de exemplo:
- Nome do blueprint: forneça um nome para sua cópia do exemplo de blueprint do PBMM Federal do Canadá.
- Local da definição: use as reticências e selecione o grupo de gerenciamento para salvar sua cópia da amostra.
Selecione a guia Artefatos na parte superior da página ou Avançar: Artefatos na parte inferior da página.
Analise a lista de artefatos incluídos no exemplo de blueprint. Muitos dos artefactos têm parâmetros que vamos definir mais tarde. Quando terminar de rever o esquema de exemplo, selecione Guardar Rascunho.
Publicar a cópia do exemplo
A cópia do esquema de exemplo está agora criada no seu ambiente. Está criada no modo Rascunho e tem de ser Publicada antes de poder ser atribuída e implementada. A cópia do exemplo de blueprint pode ser personalizada de acordo com seu ambiente e necessidades, mas essa modificação pode afastá-lo do alinhamento com os controles PBMM federais do Canadá.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a cópia do esquema de exemplo e selecione-a.
Selecione Publicar esquema, na parte superior da página. Na página nova à direita, indique uma Versão para a cópia do esquema de exemplo. Esta propriedade é útil se fizer modificações mais tarde. Forneça notas de alteração, como "Primeira versão publicada a partir do exemplo de blueprint do PBMM Federal do Canadá". Em seguida, selecione Publicar na parte inferior da página.
Atribuir a cópia de exemplo
Depois que a cópia do exemplo de blueprint tiver sido publicada com êxito, ela poderá ser atribuída a uma assinatura dentro do grupo de gerenciamento em que foi salva. É neste passo que são fornecidos os parâmetros que fazem com que cada implementação da cópia do esquema de exemplo seja única.
Selecione Todos os serviços no painel esquerdo. Procure e selecione Esquemas.
Selecione a página Definições de esquema à esquerda. Utilize os filtros para localizar a cópia do esquema de exemplo e selecione-a.
Selecione Atribuir esquema, na parte superior da página de definição do esquema.
Indique os valores dos parâmetros para a atribuição do esquema:
Noções Básicas
- Assinaturas: selecione uma ou mais das assinaturas que estão no grupo de gerenciamento no qual você salvou sua cópia do exemplo de blueprint. Se selecionar mais de uma subscrição, é criada uma atribuição para cada uma mediante a utilização dos parâmetros introduzidos.
- Nome da atribuição: o nome é pré-preenchido para você com base no nome do esquema. Mude-o se necessário ou deixe-o como está.
- Local: selecione uma região para a identidade gerenciada a ser criada. O Azure Blueprints usa essa identidade gerenciada para implantar todos os artefatos no blueprint atribuído. Para saber mais, veja identidades geridas dos recursos do Azure.
- Versão de definição do blueprint: escolha uma versão publicada da sua cópia do exemplo de blueprint.
Atribuição de bloqueio
Selecione a definição de bloqueio do esquema no seu ambiente. Para obter mais informações, veja bloqueio de recurso em esquemas.
Identidade Gerida
Deixe a opção de identidade gerenciada atribuída ao sistema padrão.
Parâmetros dos artefactos
Os parâmetros definidos nesta secção aplicam-se ao artefacto no qual são definidos. Esses parâmetros são parâmetros dinâmicos, uma vez que são definidos durante a atribuição do projeto. Para obter uma lista completa ou parâmetros de artefato e suas descrições, consulte Tabela de parâmetros de artefato.
Depois de introduzidos todos os parâmetros, selecione Atribuir, na parte inferior da página. A atribuição do esquema é criada e a implementação do artefacto inicia-se. A implantação leva cerca de uma hora. Para verificar o estado, abra a atribuição do esquema.
Aviso
O serviço Azure Blueprints e os esquemas de exemplo incorporados são gratuitos. Os preços dos recursos do Azure são os preços por produto. Utilize a calculadora de preços para prever o custo da execução de recursos implementados por este esquema de exemplo.
Tabela de parâmetros dos artefactos
A tabela seguinte mostra uma lista dos parâmetros dos artefactos de esquema:
| Nome do artefacto | Tipo de artefacto | Nome do parâmetro | Description |
|---|---|---|---|
| [Preview]: Implantar o Log Analytics Agent para VMs Linux | Atribuição de políticas | Espaço de trabalho do Log Analytics para VMs Linux | Para obter mais informações, consulte Criar uma área de trabalho do Log Analytics no portal do Azure. |
| [Preview]: Implantar o Log Analytics Agent para VMs Linux | Atribuição de políticas | Opcional: Lista de imagens de VM que suportaram o sistema operacional Linux para adicionar ao escopo | Uma matriz vazia pode ser usada para indicar que não há parâmetros opcionais: [] |
| [Pré-visualização]: Implementar o Agente do Log Analytics para VMs do Windows | Atribuição de políticas | Opcional: Lista de imagens de VM que suportaram o sistema operacional Windows para adicionar ao escopo | Uma matriz vazia pode ser usada para indicar que não há parâmetros opcionais: [] |
| [Pré-visualização]: Implementar o Agente do Log Analytics para VMs do Windows | Atribuição de políticas | Espaço de trabalho do Log Analytics para VMs do Windows | Para obter mais informações, consulte Criar uma área de trabalho do Log Analytics no portal do Azure. |
| [Preview]: Audite os controles do PBMM Federal do Canadá e implante extensões de VM específicas para dar suporte aos requisitos de auditoria | Atribuição de políticas | ID do espaço de trabalho do Log Analytics para o qual as VMs devem ser configuradas | Este é o ID (GUID) do espaço de trabalho do Log Analytics para o qual as VMs devem ser configuradas. |
| [Preview]: Audite os controles do PBMM Federal do Canadá e implante extensões de VM específicas para dar suporte aos requisitos de auditoria | Atribuição de políticas | Lista de tipos de recursos que devem ter logs de diagnóstico habilitados | Lista de tipos de recursos a serem auditados se a configuração do log de diagnóstico não estiver habilitada. Os valores aceitáveis podem ser encontrados em esquemas de logs de diagnóstico do Azure Monitor. |
| [Preview]: Audite os controles do PBMM Federal do Canadá e implante extensões de VM específicas para dar suporte aos requisitos de auditoria | Atribuição de políticas | Grupo de administradores | Grupo. Exemplo: Administrator; myUser1; myUser2 |
| [Preview]: Audite os controles do PBMM Federal do Canadá e implante extensões de VM específicas para dar suporte aos requisitos de auditoria | Atribuição de políticas | Lista de usuários que devem ser incluídos no grupo Administradores de VM do Windows | Uma lista separada por ponto-e-vírgula de membros que devem ser incluídos no grupo local Administradores. Exemplo: Administrator; myUser1; myUser2 |
| Implantar proteção avançada contra ameaças em contas de armazenamento | Atribuição de políticas | Efeito | Informações sobre efeitos de política podem ser encontradas em Compreender os efeitos de política do Azure. |
| Implantar auditoria em servidores SQL | Atribuição de políticas | O valor em dias do período de retenção (0 indica retenção ilimitada) | Dias de retenção (opcional, 180 dias se não especificado) |
| Implantar auditoria em servidores SQL | Atribuição de políticas | Nome do grupo de recursos para conta de armazenamento para auditoria do SQL Server | A auditoria grava eventos de banco de dados em um log de auditoria em sua conta de Armazenamento do Azure (uma conta de armazenamento é criada em cada região onde um SQL Server é criado que é compartilhado por todos os servidores nessa região). Importante - para o funcionamento adequado da Auditoria, não exclua ou renomeie o grupo de recursos ou as contas de armazenamento. |
| Implantar configurações de diagnóstico para grupos de segurança de rede | Atribuição de políticas | Prefixo da conta de armazenamento para diagnóstico do grupo de segurança de rede | Esse prefixo é combinado com o local do grupo de segurança de rede para formar o nome da conta de armazenamento criada. |
| Implantar configurações de diagnóstico para grupos de segurança de rede | Atribuição de políticas | Nome do grupo de recursos para conta de armazenamento para diagnóstico de grupo de segurança de rede (deve existir) | O grupo de recursos no qual a conta de armazenamento é criada. Esse grupo de recursos já deve existir. |
Próximos passos
Artigos adicionais sobre esquemas e como os utilizar:
- Saiba mais sobre o ciclo de vida do esquema.
- Compreenda como utilizar parâmetros estáticos e dinâmicos.
- Aprenda a personalizar a ordem de sequenciação do esquema.
- Saiba como utilizar o bloqueio de recursos de esquema.
- Saiba como atualizar as atribuições existentes.