你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

监视云治理

本文介绍如何监视云治理。 强制实施云治理后，需要衡量云环境与云治理策略的一致（合规）程度。 首先，采取初始符合性度量来确定需要改进的领域，以便将云设置与治理策略保持一致。 跟踪一段时间内的合规性，了解云治理是否有效且无效。 目标是监视治理，并将不符合问题减少到零。

配置云治理监视

实现监视解决方案，以跟踪云治理策略的符合性。 目标是对负责强制实施合规性的团队进行可见性，以便快速修正不符合要求。 若要配置治理监视，请遵循以下建议：

• 使用监视工具。 选择提供实时监视功能的符合性监视工具。 确保他们可以监视与特定治理策略的符合性。 根据需要收集指标和日志，以便进行治理监视。 查看 Azure 登陆区域管理设计区域中的可见性和监视建议。

• 根据需要手动监视。 手动查看自动化监视机制不可用的符合性。

• 文档监视解决方案。 跟踪监视每个云治理策略的方式，以便了解在何处收集合规性数据。 在云治理策略中，列出监视工具，例如 Azure Policy 或 Microsoft Purview。 如果有手动方法，请列出审核频率。

• 集中治理监视。 使用或构建一个解决方案，使你能够在一个位置查看云治理合规性的状态。 例如， Azure 治理工作簿 集中了许多 Azure 治理监视服务。

• 建立符合性基线。 评估云环境是否符合云治理策略。 使基线成为基线。 跟踪一段时间内基线的进度。

• 提供对治理监视的访问权限。 配置对治理监视结果的适当访问级别，以便负责治理的团队可以评估强制控制的有效性。

• 审核监视有效性。 手动查看符合性以验证符合性。 例如，确保标记接收正确的值，而不是不需要的值，例如 NA。

Azure 便利化：配置云治理监视

以下指南旨在帮助你在 Azure 中配置云治理监视。 它为主要类别的云治理提供了一个示例起点。 请考虑在 Azure 治理工作簿中聚合这些信号。 若要配置云治理监视，需要一个有权从订阅收集监视数据的 Azure 标识。

为监管合规性治理配置监视

• 使用符合性仪表板。获取所分配策略的策略符合性数据。

• 确定符合性。 使用符合性数据确定 不符合的原因。

为安全治理配置监视

• 使用安全治理监视。通过安全分数查看安全建议并监视一段时间内的安全治理。此功能提供一个仪表板，用于监视针对常见安全框架的法规符合性。

• 配置标识治理监视。配置标识监视以收集审核、登录和预配日志。 另请查看 标识安全功能分数，并使用 标识治理仪表板 跨租户获取标识的单个视图。

为成本管理治理配置监视

• 分析云成本。 在 Azure 中执行成本分析，以全面了解云成本。

• 创建预算。创建与云中所需投资一致的预算。

• 收集成本数据。 使用 成本优化建议 和 成本优化工作簿 来指导成本管理工作，例如检测空闲资源。 确定成本异常和意外更改。

为操作治理配置监视

• 监视云操作的策略。 使用 Azure Policy 跟踪适用于操作的治理策略的符合性。

• 监视日志和指标。 若要跟踪可用性和性能，请跨云环境分析日志和指标。

• 监视资源优化。使用 Azure 顾问监视 Azure 资源的可靠性、安全性、卓越运营、性能和成本。 为任何新的顾问建议设置警报 。

• 监视资源运行状况。监视 Azure 服务的运行状况，并监视影响服务的事件、计划内维护和其他可能影响可用性的更改。

为数据管理配置监视

• 监视数据管理。监视数据符合性、管理和使用情况。

• 使用仪表板。 使用仪表板监视任何数据平面策略的符合性。

为资源管理治理配置监视

• 监视有关资源管理的策略。 监视适用于资源部署的云治理策略（例如标记强制策略）的合规性。

为 AI 治理配置监视

• 监视 AI 系统输出。 使用 Azure 对 AI 系统进行滥用监视 和 内容筛选 。

• 红色团队 AI 系统。 定期 使用红色团队语言模型 来查找有害输出。 使用手动测试和自动化工具查看风险基线。

配置云治理警报

根据特定合规性指标或事件配置警报，这些指标或事件表明偏离了治理策略。 若要配置云治理警报，请遵循以下建议：

• 使用云原生警报机制。 首选云原生工具，这些工具提供实时监视和警报来解决合规性问题。

• 定义不符合。 为不符合定义明确的阈值和基线。 当数据超过这些阈值或发生意外更改时（可能表示不符合）时设置警报。

• 适当地路由警报。 将警报发送到负责强制实施云治理策略的相应团队或个人。

• 在警报中包含不符合信息。 配置警报以包含有关不符合事件的详细信息。 理想情况下包括违反的策略、受影响的资源和建议的修正。

Azure 便利化：配置云治理警报

以下指南可帮助你开始在 Azure 中配置云治理警报。 它为主要类别的云治理提供了一个示例起点。

• 法规合规性治理警报。 使用 Azure 活动日志生成 跨 Azure 的不符合性的警报 。

• 安全治理警报。 配置 安全警报 和不符合 警报。

• 成本治理警报。 设置警报以通知团队潜在的成本溢出和支出异常。 配置 成本警报 和 成本异常警报。 设置 预留利用率警报 ，以保留预留并节省计划使用情况，或接近完全使用情况。

• 操作治理警报。针对特定日志和指标配置警报。 为符合可靠性和性能的新建议设置警报 。 配置服务运行状况警报，以获取有关当前和即将发生的服务运行状况问题的通知。 配置 资源运行状况警报 ，以获取 Azure 资源的当前和历史运行状况状态的通知。

• 数据管理警报。配置数据管理警报以报告数据治理冲突。

• 资源管理治理警报。 配置非合规资源部署时的警报。 例如，在部署管道中使用生成警告或监视不符合状态。

• AI 治理警报。 在 AI 系统中配置有害输入和输出时的警报。 例如，监视来自 Azure OpenAI 的电子邮件，通知你 滥用行为。

制定修正计划

制定有针对性的行动计划，以解决任何不合规事件。 检测到不符合时，请执行修正计划来更正偏差，并将风险和影响降到最低。 将修正详细信息添加到云治理策略，以便轻松访问。 遵循以下建议：

• 讨论修正时间线。 根据风险优先级协商修正时间线。 负责合规性的团队必须及时修正合规性。

• 快速修正高风险冲突。 对于高风险的非合规警报（例如公开的数据终结点），计划升级并解决这些不符合问题。 更新策略强制机制，以避免重复这种高风险冲突。 使用 Azure 对符合性状态更改做出反应， 修正不符合策略的资源，并 修正安全建议。

• 跟进低风险冲突。 对低风险策略采取审核优先立场，以便你可以与违反云治理策略的团队进行讨论，例如在阻止列表中部署服务。 也许有一项新功能可用、更好的服务层级（SKU）或特定区域中的更好价格。 云治理团队应讨论团队的需求，并根据对话调整策略和执行机制。

• 尽可能自动进行修正。 设置自动化工作流，不仅通知相关团队，还可以在适当情况下启动预定义的修正流程。 此解决方案主要适用于无法通过自动化进行预防的已知高风险解决方案。

• 更新治理策略和强制机制。 根据从不符合事件中获得的见解，更新治理策略和强制机制。 更新可能涉及收紧策略定义、增强监视功能或优化警报阈值，以提高检测和响应时间。

定期审核云治理

即使使用自动监视，也会定期进行手动评价和审核，以验证合规性监视过程，并确保自动化工具正常运行。 若要审核云治理，请遵循以下建议：

• 进行内部审核。 定期进行内部审核，以评估治理策略的符合性。

• 进行外部审核。 根据需要与外部审核员联系，以验证符合法律和法规要求。 确保与法律专家协商，确认治理策略符合你所在地区的适用法律和法规。

后续步骤

云治理是一个持续的过程，需要持续关注。 一贯重复评估风险、记录治理策略、强制实施这些策略以及监视强制实施有效性的治理过程。 每当云治理团队发现新的云风险时，云治理团队也应通过云治理过程。

云治理概述

云采用框架概述