在 Azure Policy 中创建、分配和解释安全策略和计划

当涉及到保护 Azure 环境时，你会遇到两个重要工具：Azure 安全策略和 Azure 安全计划。两者在保持合规性方面都发挥着重要作用，但它们的作用不同。让我们来细分其功能和用例。

定义：Azure Policy 就像一个勤奋的守护者，可确保资源遵守特定规则。它允许跨 Azure 环境定义和强制实施策略。
材料：
- 策略定义：指定要控制的条件（例如，允许的资源类型、强制标记）。
- 策略分配：确定策略生效的位置（各个资源、资源组、管理组）。
- 策略参数：自定义策略行为（例如，虚拟机库存单位、位置）。
用例：
- 一致地强制实施特定规则。
- 确保统一标记。
- 控制资源类型。

定义：可以将 Azure 计划视为策略捆绑包。它们将相关的 Azure Policy 定义组合在一起，以实现特定目的。
材料：
- 定义（策略）：捆绑到单个项目中的策略集合。
- 分配：计划应用于某个范围（例如订阅、资源组）。
- 参数：自定义计划行为。
用例：
- 实现更广泛的合规性目标（例如，支付卡行业数据安全标准、Health Insurance Portability and Accountability Act）。
- 协调一致地管理相关策略。

Azure Policy：
- 当需要强制实施特定规则时，请将其用于各个策略。
- 有时单个策略就足够了。
Azure 计划：
- 即使是单个策略也建议使用，因为它可以简化管理。
- 通过计划，可以将多个策略作为一个内聚单元进行管理。
- 示例：与其针对 PCI-DSS 合规性分别处理 20 个单独的策略，不如采用同时评估所有策略的计划。

Azure 安全策略侧重于精细控制，而 Azure 安全计划提供了一种统一的方法。根据组织的需求和合规复杂性，做出明智地选择。两者都是 Azure 安全工具箱中的基本工具。

创建和管理策略以强制实施符合性

了解如何在 Azure 中创建和管理策略对于保持与公司标准和服务级别协议的符合性来说非常重要。在本例中，你将学习如何使用 Azure Policy 来执行某些与在组织中创建、分配和管理策略相关的常见任务，例如：

如果没有 Azure 订阅，请在开始之前创建一个免费帐户。

使用 Azure Policy 强制实施符合性的第一步是分配策略定义。策略定义用于定义实施策略的条件，以及要达到的效果。在本例中，分配名为“如果缺少，则从资源组继承标记”的内置策略定义，以将指定的标记及其值从父资源组添加到缺少该标记的新资源或更新的资源。

屏幕截图显示了如何在“策略”页中配置分配。

屏幕截图显示如何在创作分配页中分配策略。

在“分配策略”页和“基本信息”选项卡上，通过选择省略号并选择管理组或订阅，选择“范围” 。或者，请选择一个资源组。范围用于确定对其强制执行策略分配的资源或资源组。然后在“范围”页的底部单击“选择”。此示例使用 Contoso 订阅。你的订阅将有所不同。
可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的，因此暂时将其留空。
选择“策略定义”旁边的省略号打开可用定义的列表。你可以筛选策略定义类型为“内置”以查看所有项并阅读它们的说明。
选择“如果缺少，则从资源组继承标记”。如果不能立即找到它，请在搜索框中键入“继承标记”，然后按 ENTER 或者选择搜索框的外部。找到并选择策略定义后，在“可用定义”页面底部，单击“选择”。

屏幕截图显示了如何查看可用的 Azure 策略定义类型。

“分配名称”中自动填充了所选的策略名称，但可以更改它。对于本例，请保留“如果缺少，则从资源组继承标记”。还可根据需要添加“说明”。该说明提供有关此策略分配的详细信息。
让“策略强制”保持“启用”状态。禁用时，此设置允许测试策略的结果，而不触发效果。有关详细信息，请参阅强制模式。
系统会根据登录的用户自动填充“分配者”。此字段是可选字段，因此可输入自定义值。
选择向导顶部的“参数”选项卡。
对于“标记名称”，请输入“Environment”。
选择向导顶部的“修正”选项卡。
让“创建修正任务”处于取消选中状态。使用此框可以创建一个任务来更改现有资源以及新资源或更新的资源。
系统会自动勾选“创建托管标识”，因为此策略定义使用 modify 效果。系统会根据策略定义自动将“权限”设置为“参与者”。有关详细信息，请参阅托管标识和修正访问控制工作原理。
选择向导顶部的“不合规消息”选项卡。
将“不合规消息”设置为“此资源没有所需标记”。当拒绝某个资源时或在常规评估期间针对不合规资源会显示此自定义消息。
选择向导顶部的“查看 + 创建”选项卡。
查看选项，然后在页面底部选择“创建”。