Allgemeine Azure Policy-Beispiele
Azure Policy kann Ihnen helfen, Governance auf Ihre Cloudressourcen anzuwenden. Dieser Dienst kann Ihnen beim Erstellen von Leitlinien helfen, die die unternehmensweite Compliance mit den Anforderungen der Governancerichtlinien sicherstellen. Verwenden Sie zum Erstellen von Richtlinien entweder das Azure-Portal oder PowerShell-Cmdlets. Dieser Artikel enthält Beispiele für PowerShell-Cmdlets.
Hinweis
Mit Azure Policy werden Erzwingungsrichtlinien (DeployIfNotExists) nicht automatisch auf vorhandenen virtuellen Computern bereitgestellt. Um die Compliance virtueller Computer sicherzustellen, ist eine Bereinigung erforderlich. Weitere Informationen finden Sie unter Korrigieren nicht konformer Ressourcen mit Azure Policy.
Allgemeine Beispiele für Richtlinien
In den folgenden Abschnitten werden einige häufig verwendeten Richtlinien beschrieben.
Einschränken von Ressourcenbereichen
Die Vorschriften- und Richtliniencompliance hängt oft von der Kontrolle des physischen Standorts ab, an dem die Ressourcen bereitgestellt werden. Sie können eine integrierte Richtlinie verwenden, die es Benutzern gestattet, Ressourcen nur in einigen zulässigen Azure-Regionen zu erstellen.
Wenn Sie diese Richtlinie im Portal finden möchten, suchen Sie auf der Seite zur Richtliniendefinition nach „Standort“. Alternativ können Sie dieses Cmdlet ausführen, um die Richtlinie zu finden:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq 'BuiltIn') `
-and ($_.Properties.displayName -like '*location*') }
Das folgende Skript zeigt, wie Sie die Richtlinie zuweisen. Ändern Sie den $SubscriptionID-Wert, um auf das Abonnement zu verweisen, dem Sie die Richtlinie zuweisen möchten. Melden Sie sich vor dem Ausführen des Skripts mit dem Cmdlet Connect-AzAccount an.
# Specify the value for $SubscriptionID.
$SubscriptionID = <subscription ID>
$scope = "/subscriptions/$SubscriptionID"
# Replace the -Name GUID with the policy GUID you want to assign.
$AllowedLocationPolicy = Get-AzPolicyDefinition -Name "e56962a6-4747-49cd-b67b-bf8b01975c4c"
# Replace the locations with the ones you want to specify.
$policyParam = '{ "listOfAllowedLocations":{"value":["eastus","westus"]}}'
New-AzPolicyAssignment -Name "Allowed Location" -DisplayName "Allowed locations for resource creation" -Scope $scope -PolicyDefinition $AllowedLocationPolicy -Location eastus -PolicyParameter $policyParam
Sie können dieses Skript auch verwenden, um die anderen in diesem Artikel beschriebenen Richtlinien anzuwenden. Ersetzen Sie einfach die GUID in der Zeile, die $AllowedLocationPolicy festlegt, durch die GUID der Richtlinie, die Sie anwenden möchten.
Blockieren bestimmter Ressourcentypen
Eine weitere allgemeine integrierte Richtlinie zur Kostenkontrolle kann auch zum Blockieren bestimmter Ressourcentypen verwendet werden.
Wenn Sie diese Richtlinie im Portal finden möchten, suchen Sie auf der Seite zur Richtliniendefinition nach „zulässigen Ressourcentypen“. Alternativ können Sie dieses Cmdlet ausführen, um die Richtlinie zu finden:
Get-AzPolicyDefinition | Where-Object { ($_.Properties.policyType -eq "BuiltIn") -and ($_.Properties.displayName -like "*allowed resource types") }
Nachdem Sie die zu verwendende Richtlinie identifiziert haben, können Sie das PowerShell-Beispiel im Abschnitt Ressourcenregionen einschränken ändern, um diese Richtlinie zuzuweisen.
Einschränken der Größe des virtuellen Computers
Azure bietet eine große Auswahl an VM-Größen, um verschiedene Workloads zu unterstützen. Um Ihr Budget zu kontrollieren, können Sie eine Richtlinie erstellen, die nur eine Teilmenge der VM-Größen in Ihren Abonnements zulässt.
Bereitstellen von Antischadsoftware
Mit dieser Richtlinie können Sie die Microsoft Antimalware-Erweiterung mit einer Standardkonfiguration auf virtuellen Computern bereitstellen, die nicht durch Antischadsoftware geschützt sind.
Die GUID der Richtlinie lautet 2835b622-407b-4114-9198-6f7064cbe0dc.
Das folgende Skript zeigt, wie Sie die Richtlinie zuweisen. Ändern Sie zur Verwendung des Skripts den $SubscriptionID-Wert, um auf das Abonnement zu verweisen, dem Sie die Richtlinie zuweisen möchten. Melden Sie sich vor dem Ausführen des Skripts mit dem Cmdlet Connect-AzAccount an.
# Specify the value for $SubscriptionID.
$subscriptionID = <subscription ID>
$scope = "/subscriptions/$subscriptionID"
$antimalwarePolicy = Get-AzPolicyDefinition -Name "2835b622-407b-4114-9198-6f7064cbe0dc"
# Replace location "eastus" with the value that you want to use.
New-AzPolicyAssignment -Name "Deploy Antimalware" -DisplayName "Deploy default Microsoft IaaSAntimalware extension for Windows Server" -Scope $scope -PolicyDefinition $antimalwarePolicy -Location eastus -AssignIdentity
Nächste Schritte
Erhalten Sie Informationen zu anderen verfügbaren Tools und Diensten für die Serververwaltung.