Partilhar via


Tutorial: Criar e gerir políticas para impor a conformidade

Compreender como criar e gerir políticas no Azure é importante para manter a conformidade com os seus padrões empresariais e contratos de nível de serviço. Neste tutorial, vai aprender a utilizar o Azure Policy para realizar algumas das tarefas mais comuns relacionadas com a criação, atribuição e gestão de políticas na sua organização, tais como:

  • Atribuir uma política para impor uma condição para os recursos que criar no futuro
  • Criar e atribuir uma definição de iniciativa para controlar a conformidade de vários recursos
  • Resolver um recurso negado ou em não conformidade
  • Implementar uma nova política numa organização

Se gostaria de atribuir uma política para identificar o estado atual de conformidade dos seus recursos existentes, os artigos de início rápido mostram como fazê-lo.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Atribuir uma política

O primeiro passo para impor a conformidade com o Azure Policy consiste em atribuir uma definição de política. Uma definição de política define sob que condição é imposta uma política e qual o efeito a ter. Neste exemplo, atribua a definição de política interna chamada Herdar uma tag do grupo de recursos se faltar para adicionar a tag especificada com seu valor do grupo de recursos pai a recursos novos ou atualizados que faltam na tag.

  1. Vá para o portal do Azure para atribuir políticas. Pesquise e selecione Política.

    Captura de ecrã a mostrar a pesquisa de Política na barra de pesquisa.

  2. Selecione Atribuições no lado esquerdo da página Azure Policy. Uma atribuição é uma política que foi atribuída para ter lugar num âmbito específico.

    Captura de ecrã a mostrar a seleção do nó Atribuições na página Descrição Geral da Política.

  3. Selecione Atribuir política na parte superior da Política | Página de atribuições .

    Captura de ecrã a mostrar a seleção do botão 'Atribuir política' na página Atribuições.

  4. Na página Atribuir Política e na guia Noções básicas, selecione o Escopo selecionando as reticências e selecionando um grupo de gerenciamento ou assinatura. Opcionalmente, selecione um grupo de recursos. Um âmbito determina quais os recursos ou agrupamento de recursos em que a atribuição de política será imposta. Em seguida, selecione Selecionar na parte inferior da página Escopo .

  5. Os recursos podem ser excluídos com base no Âmbito. As Exclusões começam num nível inferior ao nível do Âmbito. As Exclusões são opcionais. Por isso, deixe-as em branco por enquanto.

  6. Selecione as reticências de Definição de política para abrir a lista de definições disponíveis. Pode filtrar o Tipo de definição de política para Incorporado para ver todas e ler as respetivas descrições.

  7. Selecione Herdar uma marca do grupo de recursos, se faltar. Se não conseguir encontrá-la imediatamente, digite herdar uma tag na caixa de pesquisa e pressione ENTER ou selecione fora da caixa de pesquisa. Selecione Selecionar na parte inferior da página Definições disponíveis depois de encontrar e selecionar a definição de política.

    Captura de ecrã do filtro de pesquisa ao selecionar uma definição de política.

  8. A versão é automaticamente preenchida para a versão principal mais recente da definição e configurada para autoinjest quaisquer alterações ininterruptas. Você pode alterar a versão para outros, se disponível, ou ajustar suas configurações de ingestão, mas nenhuma alteração é necessária. As substituições são opcionais, por isso deixe-as em branco por enquanto.

  9. O Nome da atribuição é automaticamente preenchido com o nome da política que selecionou, mas pode alterá-lo. Neste exemplo, deixe Herdar uma marca do grupo de recursos se faltar. Também pode adicionar uma Descrição opcional. A descrição fornece detalhes sobre esta atribuição de política.

  10. Deixe a aplicação da política como Habilitada. Quando Desabilitado, essa configuração permite testar o resultado da política sem acionar o efeito. Para obter mais informações, consulte modo de imposição.

  11. Selecione a guia Parâmetros na parte superior do assistente.

  12. Em Nome da tag, insira Ambiente.

  13. Selecione a guia Correção na parte superior do assistente.

  14. Deixe a opção Criar uma tarefa de correção desmarcada. Esta caixa permite criar uma tarefa para alterar recursos existentes, além de recursos novos ou atualizados. Para obter mais informações, consulte remediar recursos.

  15. Criar uma Identidade Gerenciada é verificado automaticamente, pois essa definição de política usa o efeito de modificação . Tipo de Identidade Gerenciada é definido como Sistema Atribuído. As permissões são definidas como Colaborador automaticamente com base na definição da política. Para obter mais informações, consulte identidades gerenciadas e como funciona o controle de acesso de correção.

  16. Selecione a guia Mensagens de não conformidade na parte superior do assistente.

  17. Defina a mensagem de não conformidade como Este recurso não tem a tag necessária. Esta mensagem personalizada é exibida quando um recurso é negado ou para recursos não compatíveis durante a avaliação regular.

  18. Selecione a guia Revisar + criar na parte superior do assistente.

  19. Reveja as suas seleções e, em seguida, selecione Criar na parte inferior da página.

Implementar uma nova política personalizada

Agora que atribuiu uma definição de política incorporada, pode fazer mais com o Azure Policy. Em seguida, crie uma nova política personalizada para economizar custos validando que as máquinas virtuais criadas em seu ambiente não podem estar na série G. Dessa forma, sempre que um usuário em sua organização tenta criar uma máquina virtual na série G, a solicitação é negada.

  1. Selecione Definições em Criação no lado esquerdo da página Azure Policy.

    Captura de ecrã da página Definições no grupo Criação.

  2. Selecione + Definição de política na parte superior da página. Este botão é aberto na página Definição de política .

  3. Introduza as informações seguintes:

    • O grupo de gestão ou a subscrição em que a definição de política é guardada. Selecione, utilizando o botão de reticências em Localização da definição.

      Nota

      Se pretender aplicar esta definição de política a diversas subscrições, a localização deverá ser um grupo de gestão que inclua as subscrições às quais atribui a política. O mesmo se aplica a uma definição de iniciativa.

    • O nome da definição de política - Exigir SKUs de VM que não estejam na série G

    • A descrição do que a definição de política pretende fazer - Esta definição de política impõe que todas as máquinas virtuais criadas neste âmbito tenham SKUs diferentes da série G para reduzir custos.

    • Escolha de entre as opções existentes (tais como Computação) ou crie uma nova categoria para esta definição de política.

    • Copie o seguinte código JSON e atualize-o de acordo com as suas necessidades com:

      • Os parâmetros de política.
      • As regras/condições da política, neste caso - tamanho SKU da VM igual à série G
      • O efeito da política, neste caso - Negar.

    Veja a seguir o aspeto que o JSON deverá ter. Cole o seu código revisto no portal do Azure.

    {
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Compute/virtualMachines"
                    },
                    {
                        "field": "Microsoft.Compute/virtualMachines/sku.name",
                        "like": "Standard_G*"
                    }
                ]
            },
            "then": {
                "effect": "deny"
            }
        }
    }
    

    A propriedade field na regra de política deve ser um valor suportado. Pode encontrar-se uma lista completa de valores nos campos da estrutura de definição de políticas. Um exemplo de um alias poderá ser "Microsoft.Compute/VirtualMachines/Size".

    Para ver mais exemplos de Política do Azure, consulte Exemplos de Política do Azure.

  4. Selecione Guardar.

Criar uma definição de política com a API REST

Você pode criar uma política com a API REST para Definições de Política do Azure. A API REST permite-lhe criar e eliminar definições de política, bem como obter informações sobre as definições existentes. Para criar uma definição de política, utilize o seguinte exemplo:

PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}

Incluir um corpo de pedido semelhante ao exemplo seguinte:

{
    "properties": {
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                }
            }
        },
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Criar uma definição de política com o PowerShell

Antes de prosseguir com o exemplo do PowerShell, verifique se você instalou a versão mais recente do módulo Az do Azure PowerShell.

Pode criar uma definição de política ao utilizar o cmdlet New-AzPolicyDefinition.

Para criar uma definição de política a partir de um ficheiro, passe o caminho para o ficheiro. Para um ficheiro externo, utilize o seguinte exemplo:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -DisplayName 'Deny cool access tiering for storage' `
    -Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'

Para um ficheiro local, utilize o seguinte exemplo:

$definition = New-AzPolicyDefinition `
    -Name 'denyCoolTiering' `
    -Description 'Deny cool access tiering for storage' `
    -Policy 'c:\policies\coolAccessTier.json'

Para criar uma definição de política com uma regra na mesma linha, utilize o seguinte exemplo:

$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

O resultado é armazenado num objeto $definition, que é utilizado durante a atribuição de política. O exemplo seguinte cria uma definição de política que inclui os parâmetros:

$policy = '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "not": {
                    "field": "location",
                    "in": "[parameters(''allowedLocations'')]"
                }
            }
        ]
    },
    "then": {
        "effect": "Deny"
    }
}'

$parameters = '{
    "allowedLocations": {
        "type": "array",
        "metadata": {
            "description": "The list of locations that can be specified when deploying storage accounts.",
            "strongType": "location",
            "displayName": "Allowed locations"
        }
    }
}'

$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters

Ver definições de política com o PowerShell

Para ver todas as definições de política na sua subscrição, utilize o seguinte comando:

Get-AzPolicyDefinition

Devolve todas as definições de política disponíveis, incluindo políticas incorporadas. Cada política é devolvida no seguinte formato:

Name               : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId         : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName       : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType       : Microsoft.Authorization/policyDefinitions
Properties         : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
                     restrict the locations your organization can specify when deploying resources. Use to enforce
                     your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c

Criar uma definição de política com a CLI do Azure

Você pode criar uma definição de política usando a CLI do Azure com o az policy definition comando. Para criar uma definição de política com uma regra na mesma linha, utilize o seguinte exemplo:

az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
    "if": {
        "allOf": [{
                "field": "type",
                "equals": "Microsoft.Storage/storageAccounts"
            },
            {
                "field": "kind",
                "equals": "BlobStorage"
            },
            {
                "field": "Microsoft.Storage/storageAccounts/accessTier",
                "equals": "cool"
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Ver definições de política com a CLI do Azure

Para ver todas as definições de política na sua subscrição, utilize o seguinte comando:

az policy definition list

Devolve todas as definições de política disponíveis, incluindo políticas incorporadas. Cada política é devolvida no seguinte formato:

{
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
    "displayName": "Allowed locations",
    "version": "1.0.0"
    "id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
    "policyRule": {
        "if": {
            "not": {
                "field": "location",
                "in": "[parameters('listOfAllowedLocations')]"
            }
        },
        "then": {
            "effect": "Deny"
        }
    },
    "policyType": "BuiltIn"
}

Criar e atribuir uma definição de iniciativa

Com uma definição de iniciativa, pode agrupar várias definições de política para alcançar um objetivo mais abrangente. Uma iniciativa avalia os recursos dentro do escopo da atribuição quanto à conformidade com as políticas incluídas. Para obter mais informações sobre as definições de iniciativa, veja Descrição geral do Azure Policy.

Criar uma definição de iniciativa

  1. Selecione Definições em Criação no lado esquerdo da página Azure Policy.

    Captura de ecrã da página Definições no grupo Criação.

  2. Selecione + Definição de iniciativa na parte superior da página para abrir o assistente de definição de iniciativa.

    Captura de ecrã da página de definição da iniciativa e das propriedades a definir.

  3. Use as reticências de local da Iniciativa para selecionar um grupo de gerenciamento ou uma assinatura para armazenar a definição. Se a página anterior tiver como escopo um único grupo de gerenciamento ou assinatura, o local da Iniciativa será preenchido automaticamente.

  4. Introduza o Nome e a Descrição da iniciativa.

    Este exemplo valida se os recursos estão em conformidade com as definições de política sobre como obter segurança. O nome da iniciativa deverá ser Proteger-se e a definição da descrição: Esta iniciativa foi criada para processar todas as definições de política associadas à proteção de recursos.

  5. Em Categoria, escolha de entre as opções existentes ou crie uma nova categoria.

  6. Defina uma versão para a iniciativa, como 1.0.

    Nota

    O valor da versão é estritamente metadados e não é usado para atualizações ou qualquer processo pelo serviço de Política do Azure.

  7. Selecione Avançar na parte inferior da página ou na guia Políticas na parte superior do assistente.

  8. Selecione o botão Adicionar definição(ões) de política e navegue pela lista. Selecione a(s) definição(ões) de política que pretende adicionar a esta iniciativa. Para a iniciativa Get Secure , adicione as seguintes definições de política internas marcando a caixa de seleção ao lado da definição de política:

    • Localizações permitidas
    • A proteção de ponto final deve ser instalada em máquinas
    • As máquinas virtuais sem acesso à Internet devem ser protegidas com grupos de segurança de rede
    • O Backup do Azure deve ser habilitado para Máquinas Virtuais
    • A encriptação do disco tem de ser aplicada em máquinas virtuais
    • Adicionar ou substituir uma tag em recursos (adicione esta definição de política duas vezes)

    Depois de selecionar cada definição de política na lista, selecione Adicionar na parte inferior da lista. Como ela é adicionada duas vezes, as definições de política Adicionar ou substituir uma tag em recursos obtêm cada uma uma ID de referência diferente.

    Captura de ecrã das definições de política selecionadas com o respetivo ID de referência e grupo na página de definição da iniciativa.

    Nota

    As definições de política selecionadas podem ser adicionadas aos grupos selecionando uma ou mais definições adicionadas e selecionando Adicionar políticas selecionadas a um grupo. O grupo deve existir primeiro e pode ser criado na guia Grupos do assistente.

  9. Selecione Avançar na parte inferior da página ou a guia Grupos na parte superior do assistente. Novos grupos podem ser adicionados a partir desta guia. Para este tutorial, não estamos adicionando nenhum grupo.

  10. Selecione Avançar na parte inferior da página ou na guia Parâmetros da iniciativa na parte superior do assistente. Se quiséssemos que existisse um parâmetro na iniciativa de passar para uma ou mais definições de política incluídas, o parâmetro é definido aqui e, em seguida, usado na guia Parâmetros de política. Para este tutorial, não estamos adicionando nenhum parâmetro de iniciativa.

    Nota

    Depois de salvos em uma definição de iniciativa, os parâmetros da iniciativa não podem ser excluídos da iniciativa. Se um parâmetro de iniciativa não for mais necessário, remova-o do uso por quaisquer parâmetros de definição de política.

  11. Selecione Avançar na parte inferior da página ou a guia Parâmetros de política na parte superior do assistente.

  12. As definições de política adicionadas à iniciativa que têm parâmetros são exibidas em uma grade. O tipo de valor pode ser 'Valor padrão', 'Definir valor' ou 'Usar parâmetro de iniciativa'. Se 'Definir valor' for selecionado, o valor relacionado será inserido em Valor(es). Se o parâmetro na definição de política tiver uma lista de valores permitidos, a caixa de entrada será um seletor de lista suspensa. Se a opção 'Usar parâmetro de iniciativa' for selecionada, uma lista suspensa será selecionada com os nomes dos parâmetros de iniciativa criados na guia Parâmetros de iniciativa.

    Captura de tela das opções de valores permitidos para o parâmetro de definição de locais permitidos na guia Parâmetros de política da página de definição de iniciativa.

    Nota

    No caso de alguns parâmetros strongType, a lista de valores não pode ser determinada automaticamente. Nestes casos, um botão de reticências será apresentado à direita da linha do parâmetro. Selecioná-lo abre a página 'Parameter scope (<parameter name>)'. Nesta página, selecione a subscrição a utilizar para fornecer as opções de valor. Este âmbito de parâmetro só é utilizado durante a criação da definição de iniciativa e não tem qualquer impacto na avaliação de políticas nem no âmbito da iniciativa quando atribuído.

    Defina o tipo de valor 'Locais permitidos' como 'Definir valor' e selecione 'Leste dos EUA 2' na lista suspensa. Para as duas instâncias das definições de política Adicionar ou substituir uma tag em recursos, defina os parâmetros Nome da tag como 'Env' e 'CostCenter e os parâmetros Valor da tag como 'Test' e 'Lab', conforme mostrado abaixo. Deixe os outros como 'Valor padrão'. Usando a mesma definição duas vezes na iniciativa, mas com parâmetros diferentes, essa configuração adiciona ou substitui uma tag 'Env' com o valor 'Test' e uma tag 'CostCenter' com o valor de 'Lab' em recursos no escopo da atribuição.

    Captura de tela das opções inseridas para valores permitidos para o parâmetro de definição de locais permitidos e valores para ambos os conjuntos de parâmetros de tag na guia Parâmetros de política da página de definição de iniciativa.

  13. Selecione Rever + criar na parte inferior da página ou na parte superior do assistente.

  14. Revise as configurações e selecione Criar.

Criar uma definição de iniciativa de política com a CLI do Azure

Você pode criar uma definição de iniciativa de política usando a CLI do Azure com o az policy set-definition comando. Para criar uma definição de iniciativa política com uma definição de política existente, utilize o seguinte exemplo:

az policy set-definition create -n readOnlyStorage --definitions '[
        {
            "policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
            "parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
        }
    ]' \
    --params '{ "requiredSku": { "type": "String" } }'

Criar uma definição de iniciativa de política com o Azure PowerShell

Você pode criar uma definição de iniciativa de política usando o Azure PowerShell com o New-AzPolicySetDefinition cmdlet. Para criar uma definição de iniciativa política com uma definição de política existente, utilize o seguinte ficheiro de definição de iniciativa de política como VMPolicySet.json:

[
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
        "parameters": {
            "tagName": {
                "value": "Business Unit"
            },
            "tagValue": {
                "value": "Finance"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
    }
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json

Atribuir uma definição de iniciativa

  1. Selecione Definições em Criação no lado esquerdo da página Azure Policy.

  2. Localize a definição de iniciativa Proteger-se que criou anteriormente e selecione-a. Selecione Atribuir na parte superior da página para abrir a página Proteger-se: Atribuir iniciativa.

    Captura de ecrã do botão «Atribuir» na página de definição da iniciativa.

    Você também pode selecionar e segurar (ou clicar com o botão direito do mouse) na linha selecionada ou selecionar as reticências no final da linha para um menu contextual. Em seguida, selecione Atribuir.

    Captura de ecrã do menu de contexto de uma iniciativa para selecionar a funcionalidade Atribuir.

  3. Preencha a página Proteger-se: Atribuir Iniciativa, introduzindo as seguintes informações de exemplo. Pode utilizar as suas próprias informações.

    • Escopo: o grupo de gerenciamento ou a assinatura que você salvou a iniciativa para se tornar o padrão. Você pode alterar o escopo para atribuir a iniciativa a uma assinatura ou grupo de recursos dentro do local salvo.
    • Exclusões: configure os recursos no âmbito para evitar que a atribuição de iniciativa seja aplicada aos mesmos.
    • Definição de iniciativa e Nome da atribuição: Proteger-se (pré-preenchida como o nome da iniciativa que está a ser atribuída).
    • Descrição: esta atribuição de iniciativa está adaptada para impor este grupo de definições de política.
    • Aplicação da política: Deixe como padrão Habilitado.
    • Atribuído por: automaticamente preenchido, tendo em conta a pessoa que iniciou a sessão. Este campo é opcional,por isso pode introduzir valores personalizados.
  4. Selecione a guia Parâmetros na parte superior do assistente. Se você configurou um parâmetro de iniciativa nas etapas anteriores, defina um valor aqui.

  5. Selecione a guia Correção na parte superior do assistente. Não marque o campo Criar uma Identidade Gerida. Essa caixa deve ser marcada quando a política ou iniciativa atribuída incluir uma política com os efeitos deployIfNotExists ou modificar . Como a política usada para este tutorial não faz, deixe-a em branco. Para obter mais informações, consulte identidades gerenciadas e como funciona o controle de acesso de correção.

  6. Selecione a guia Revisar + criar na parte superior do assistente.

  7. Reveja as suas seleções e, em seguida, selecione Criar na parte inferior da página.

Verificar conformidade inicial

  1. Selecione Conformidade no lado esquerdo da página Azure Policy.

  2. Localize a iniciativa Get Secure . É provável que ainda esteja no estado de conformidade de Não iniciado. Selecione a iniciativa para obter todos os detalhes da atribuição.

    Captura de tela da página de conformidade da Iniciativa mostrando avaliações de atribuição em um estado Não iniciado.

  3. Depois de concluir a atribuição da iniciativa, a página de conformidade é atualizada com o Estado de conformidade de Conforme.

    Captura de tela da página de conformidade da Iniciativa mostrando as avaliações de atribuição concluídas e em um estado Compatível.

  4. Selecionar qualquer política na página de conformidade da iniciativa abre a página de detalhes de conformidade dessa política. Esta página apresenta os detalhes de conformidade ao nível dos recursos.

Remover um recurso não compatível ou negado do escopo com uma exclusão

Depois de atribuir uma iniciativa de política para exigir um local específico, qualquer recurso criado em um local diferente é negado. Nesta seção, você percorre a resolução de uma solicitação negada para criar um recurso criando uma exclusão em um único grupo de recursos. A exclusão impede a aplicação da política (ou iniciativa) nesse grupo de recursos. No exemplo a seguir, qualquer local é permitido no grupo de recursos excluído. Uma exclusão pode ser aplicada a uma assinatura, a um grupo de recursos ou a um recurso individual.

Nota

Uma isenção de política também pode ser usada para ignorar a avaliação de um recurso. Para obter mais informações, consulte Escopo na Política do Azure.

As implantações impedidas por uma política ou iniciativa atribuída podem ser exibidas no grupo de recursos direcionado pela implantação: selecione Implantações no lado esquerdo da página e, em seguida, selecione o Nome da Implantação da implantação com falha. O recurso que foi negado é apresentado com o estado Proibido. Para determinar a política ou iniciativa e atribuição que negou o recurso, selecione Reprovado. Clique aqui para obter detalhes -> na página Visão geral da implantação. É apresentada uma janela no lado direito da página com as informações de erro. Em Detalhes do erro estão os GUIDs dos objetos de política relacionados.

Captura de tela de uma implantação com falha que foi negada por uma atribuição de política.

Na página Política do Azure: selecione Conformidade no lado esquerdo da página e selecione a iniciativa de política Obter Segurança . Nesta página, há um aumento na contagem de Negar para recursos bloqueados. Na guia Eventos, há detalhes sobre quem tentou criar ou implantar o recurso que foi negado pela definição de política.

Captura de ecrã do separador Eventos e detalhes do evento de política na página Conformidade com a Iniciativa.

Neste exemplo, Trent Baker, um dos especialistas Sr. Virtualization da Contoso, estava fazendo o trabalho necessário. Precisamos conceder a Trento um espaço para uma exceção. Crie um novo grupo de recursos, LocationsExcluded, e conceda-lhe em seguida uma exceção a esta atribuição de política.

Atualizar a atribuição com uma exclusão

  1. Selecione Atribuições em Criação no lado esquerdo da página Azure Policy.

  2. Navegue por todas as atribuições de política e abra a atribuição de política Obter Segurança .

  3. Defina a Exclusão selecionando as reticências e selecionando o grupo de recursos a ser excluído, LocationsExcluded neste exemplo. Selecione Adicionar ao Escopo Selecionado e, em seguida, selecione Salvar.

    Captura de ecrã da opção Exclusões na página Atribuição de Iniciativa para adicionar um grupo de recursos excluídos à atribuição de política.

    Nota

    Dependendo da definição da política e do seu efeito, a exclusão também pode ser concedida a recursos específicos dentro de um grupo de recursos dentro do âmbito da atribuição. Como um efeito Deny foi usado neste tutorial, não faria sentido definir a exclusão em um recurso específico que já existe.

  4. Selecione Rever + guardar e, em seguida, selecione Guardar.

Nesta seção, você resolveu a solicitação negada criando uma exclusão em um único grupo de recursos.

Clean up resources (Limpar recursos)

Se tiver terminado de trabalhar com recursos deste tutorial, use as seguintes etapas para excluir qualquer uma das atribuições ou definições de política criadas acima:

  1. Selecione Definições (ou Atribuições, se estiver a tentar eliminar uma atribuição) em Criação no lado esquerdo da página Política do Azure.

  2. Procure a nova definição de iniciativa ou de política (ou atribuição) que acabou de remover.

  3. Clique com o botão direito do rato na linha ou selecione as reticências no fim da definição (ou atribuição) e selecione Eliminar definição (ou Eliminar atribuição).

Rever

Neste tutorial conseguiu realizar com êxito as seguintes tarefas:

  • Atribuir uma política para impor uma condição para os recursos que criar no futuro
  • Criar e atribuir uma definição de iniciativa para controlar a conformidade de vários recursos
  • Resolver um recurso negado ou em não conformidade
  • Implementar uma nova política numa organização

Próximos passos

Para saber mais sobre as estruturas de definições de política, veja este artigo: