Создание назначения политики для обнаружения несоответствующих требованиям ресурсов с помощью файла BICEP

Статья
02/26/2024

В этом кратком руководстве вы используете файл Bicep для создания назначения политики, которое проверяет соответствие ресурсов политике Azure. Политика назначается группе ресурсов и проверяет виртуальные машины, которые не используют управляемые диски. После создания назначения политики вы определите несоответствующие виртуальные машины.

Bicep — это предметно-ориентированный язык (DSL), который использует декларативный синтаксис для развертывания ресурсов Azure. Он обеспечивает краткий синтаксис, надежную безопасность типов и поддержку повторного использования кода. Bicep предлагает лучшие возможности для разработки решений Azure типа "инфраструктура как код".

При назначении встроенной политики или определения инициативы необязательно ссылаться на версию. Назначения политик встроенных определений по умолчанию для последней версии и автоматически наследуют незначительные изменения версии, если иное не указано.

Необходимые компоненты

Если у вас нет учетной записи Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
Bicep
Azure PowerShell или Azure CLI.
Visual Studio Code и расширение Bicep для Visual Studio Code.
Microsoft.PolicyInsightsнеобходимо зарегистрировать в подписке Azure. Чтобы зарегистрировать поставщика ресурсов, необходимо иметь разрешение на регистрацию поставщиков ресурсов. Это разрешение включается в роли участника и владельца.
Группа ресурсов с хотя бы одной виртуальной машиной, которая не использует управляемые диски.

Проверка BICEP-файла

Файл Bicep создает назначение политики для области группы ресурсов и назначает встроенные виртуальные машины аудита политик , которые не используют управляемые диски.

Создайте следующий файл Bicep в качестве policy-assignment.bicep.

Откройте Visual Studio Code и выберите файл>"Создать текстовый файл".
Скопируйте и вставьте Bicep-файл в Visual Studio Code.
Выберите "Сохранить файл>" и используйте политику назначения файла.bicep.

param policyAssignmentName string = 'audit-vm-managed-disks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'
param policyDisplayName string = 'Audit VM managed disks'

resource assignment 'Microsoft.Authorization/policyAssignments@2023-04-01' = {
  name: policyAssignmentName
  scope: resourceGroup()
  properties: {
    policyDefinitionId: policyDefinitionID
    description: 'Policy assignment to resource group scope created with Bicep file'
    displayName: policyDisplayName
    nonComplianceMessages: [
      {
        message: 'Virtual machines should use managed disks'
      }
    ]
  }
}

output assignmentId string = assignment.id

Тип ресурса, определенный в файле Bicep, — Microsoft.Authorization/policyAssignments.

Файл Bicep использует три параметра для развертывания назначения политики:

policyAssignmentName создает назначение политики с именем audit-vm-managed-disks.
policyDefinitionID использует идентификатор встроенного определения политики. Для справки команды, чтобы получить идентификатор, находятся в разделе для развертывания шаблона.
policyDisplayNameсоздает отображаемое имя, которое отображается в портал Azure.

Дополнительные сведения о файлах Bicep:

Чтобы найти дополнительные примеры Bicep, перейдите к разделу "Обзор примеров кода".
Дополнительные сведения о справочнике по шаблонам для развертываний см. в справочнике по шаблону Azure.
Чтобы узнать, как разрабатывать файлы Bicep, перейдите в документацию по Bicep.
Чтобы узнать о развертываниях уровня подписки, перейдите к развертываниям подписки с файлами Bicep.

Развертывание BICEP-файла

Вы можете развернуть Bicep-файл с помощью Azure PowerShell или Azure CLI.

Из сеанса терминала Visual Studio Code подключитесь к Azure. Если у вас несколько подписок, выполните команды, чтобы задать контекст для подписки. Замените <subscriptionID> идентификатором своей подписки Azure.

PowerShell
Azure CLI

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

Можно проверить, зарегистрировано ли Microsoft.PolicyInsights оно. Если это не так, можно выполнить команду, чтобы зарегистрировать поставщика ресурсов.

PowerShell
Azure CLI

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Дополнительные сведения см. в раздел Get-AzResourceProvider и Register-AzResourceProvider.

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Команды Azure CLI используют обратную косую черту (\) для продолжения строки для улучшения удобочитаемости. Дополнительные сведения см. в az provider.

Следующие команды отображают policyDefinitionID значение параметра:

PowerShell
Azure CLI

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

Следующие команды развертывают определение политики в группе ресурсов. Замените <resourceGroupName> именем группы ресурсов:

PowerShell
Azure CLI

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.bicep'
}

New-AzResourceGroupDeployment @deployparms

Переменная $rg сохраняет свойства для группы ресурсов. Переменная $deployparms использует splatting для создания значений параметров и повышения удобочитаемости. Команда New-AzResourceGroupDeployment использует значения параметров, определенные в переменной $deployparms .

Name — это имя развертывания, отображаемое в выходных данных и в Azure для развертываний группы ресурсов.
ResourceGroupName$rg.ResourceGroupName использует свойство для получения имени группы ресурсов, в которой назначена политика.
TemplateFile указывает имя и расположение файла Bicep на локальном компьютере.

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.bicep

Переменная rgname использует выражение для получения имени группы ресурсов, используемой в команде развертывания.

name — это имя развертывания, отображаемое в выходных данных и в Azure для развертываний группы ресурсов.
resource-group — имя группы ресурсов, в которой назначена политика.
template-file указывает имя и расположение файла Bicep на локальном компьютере.

Развертывание назначения политики можно проверить с помощью следующей команды:

PowerShell
Azure CLI

Команда использует $rg.ResourceId свойство для получения идентификатора группы ресурсов.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

Дополнительные сведения см. в статье Get-AzPolicyAssignment.

Переменная rgid использует выражение для получения идентификатора группы ресурсов, используемого для отображения назначения политики.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

Выходные данные подробные, но похожи на следующий пример:

"description": "Policy assignment to resource group scope created with Bicep file",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-20T20:57:09.574944Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

Дополнительные сведения см. в az policy assignment.

Выявление несоответствующих ресурсов

После развертывания назначения политики виртуальные машины, развернутые в группе ресурсов, проверяются на соответствие политике управляемого диска.

Состояние соответствия для нового назначения политики занимает несколько минут, чтобы стать активным и предоставить результаты о состоянии политики.

PowerShell
Azure CLI

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

Переменная $complianceparms создает значения параметров, используемые в команде Get-AzPolicyState .

ResourceGroupName возвращает имя группы ресурсов из $rg.ResourceGroupName свойства.
PolicyAssignmentName указывает имя, используемое при создании назначения политики.
Filter использует выражение для поиска ресурсов, которые не соответствуют назначению политики.

Результаты похожи на следующий пример и ComplianceState показаны NonCompliant:

Timestamp                : 2/20/2024 18:55:45
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

Дополнительные сведения см. в статье Get-AzPolicyState.

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

Переменная policyid использует выражение для получения идентификатора назначения политики. Параметр filter ограничивает выходные данные несоответствующим ресурсам.

Выходные az policy state list данные подробные, но для этой статьи complianceState показаны NonCompliant.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

Дополнительные сведения см. в az policy state.

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Чтобы выйти из сеанса Azure PowerShell, выполните следующие действия.

Disconnect-AzAccount

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Чтобы выйти из сеанса Azure CLI, выполните приведенные действия.

az logout

Следующие шаги

В этом кратком руководстве вы назначили определение политики для идентификации ресурсов, не соответствующих требованиям, в среде Azure.

Дополнительные сведения о назначении политик, проверяющих соответствие ресурсов, см. в этом руководстве.

Руководство по Создание политик и управление ими для обеспечения соответствия требованиям

Поделиться через