Azure 原則的運作方式
Azure 原則概念
在此,我們會涵蓋一些您在使用 Azure 原則之前需要先了解的概念。
原則:原則是您的組織內要套用的商務規則。
方案:方案是一組原則的結合,用以簡化管理。 原則和方案均以 JSON 格式撰寫。
定義:定義是可供指派的內建或自訂方案與原則的清單。
指派:指派是方案或原則與範圍的關聯。 Azure 原則的範圍可以是管理群組、Azure 訂用帳戶或資源群組。 所有子資源都會繼承父資源的指派。
豁免:豁免可用來將資源階層或個別資源免除於計畫或定義的評估。
補救:補救是對不符合規範的資源進行處理的方式。 它可讓您建立補救工作,並確保資源處於所需狀態。
原則版本控制 (預覽) 內建原則定義和方案可以有多個具有相同定義識別碼的版本。 預設值是使用最新的主要版本。 您可以選擇接受新的次要版本,或釘選到特定的次要版本。 基於安全性目的,會自動接受修正程式版本。
涵蓋的資源
Azure 原則涵蓋所有 Azure 資源,包括已啟用 Arc 的資源。 例如,您可以將控制範圍擴展到 Windows 和 Linux 實體伺服器,以及裝載於 Azure 外部、公司網路上或其他雲端提供者的虛擬機器。 對 Azure 資源使用 Azure 原則完全免費,但對 Arc 資源則會有相關費用。
Azure Arc 是一項服務,可讓您管理裝載於 Azure 外部的資源類型。 以下是支援的資源類型:
- 實體和虛擬 Windows 或 Linux 伺服器。
- Kubernetes 叢集。
- Azure 資料服務,例如 Azure SQL 受控執行個體。
- SQL Server。
您也可根據 VMware vSphere 或 Azure Stack HCI 佈建、調整大小、刪除及管理虛擬機器,並透過角色型存取啟用 VM 自助式服務。
相關服務
- Azure 藍圖:原則指派是來自 Azure 藍圖的成品類型,這表示您可以使用 Azure 藍圖來指派原則指派。 您也可以透過 .NET、JavaScript、Python、REST API、PowerShell、Azure CLI、ARM 範本、Bicep 和 Terraform 來指派原則。
- Azure Resource Graph:透過 Azure Resource Graph,您可以執行查詢以取得合規性詳細資料 (依指派和資源類型列出) 的相關資訊、列出所有不符合規範的資源、依狀態摘要資源合規性等。
- Azure 資訊安全中心:Azure 資訊安全中心的建議是來自內建安全性原則計畫。
Azure 原則的成本
針對您的 Azure 資源使用 Azure 原則不需要任何成本。
如果您打算使用 Azure 原則來涵蓋 Azure Arc 資源,在特定情況下將需要付費。 若要預估成本,請使用 Azure 原則定價或定價計算機。