Verstehen von Richtlinien
Das Anwenden einer Richtlinie auf Ihre Ressourcen mit Azure Policy umfasst die folgenden allgemeinen Schritte:
- Richtliniendefinition. Erstellen einer Richtliniendefinition.
- Richtlinienzuweisung. Weisen Sie die Definition einem Ressourcenbereich zu.
- Behebung: Überprüfen Sie die Ergebnisse der Richtlinienauswertung, und befassen Sie sich mit allen Nichtkonformitäten.
Richtliniendefinition
Eine Richtliniendefinition gibt die auszuwertenden Ressourcen und die dafür auszuführenden Aktionen an. So könnten Sie beispielsweise verhindern, dass VMs bereitgestellt werden, wenn sie für eine öffentliche IP-Adresse verfügbar gemacht werden. Zur Kostenkontrolle könnten Sie auch verhindern, dass eine bestimmte Festplatte für die Bereitstellung von VMs verwendet wird. Richtlinien werden im JSON-Format (JavaScript Object Notation) definiert.
Im folgenden Beispiel wird eine Richtlinie definiert, die einschränkt, wo Sie Ressourcen bereitstellen können:
{
"properties": {
"mode": "all",
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
Die folgende Liste enthält Beispiele für Richtliniendefinitionen:
- Zulässige Speicherkonten-SKUs (ablehnen): Bestimmt, ob ein bereitzustellendes Speicherkonto innerhalb einer Gruppe von SKU-Größen liegt. Alle Speicherkonten, die nicht der definierten Gruppe von SKU-Größen entsprechen, werden abgelehnt.
- Zulässiger Ressourcentyp (ablehnen): Definiert die Ressourcentypen, die Sie bereitstellen können. Alle Ressourcen, die nicht in dieser Liste enthalten sind, werden abgelehnt.
- Zulässige Standorte (ablehnen): Schränkt die verfügbaren Standorte für neue Ressourcen ein. Der dazugehörige Effekt dient zur Erzwingung Ihrer Geokonformitätsanforderungen.
- Zulässige SKUs für VMs (ablehnen): Gibt eine Gruppe von SKUs für VMs an, die Sie bereitstellen können.
- Tag zu Ressourcen hinzufügen (ändern): Wendet ein erforderliches Tag und dessen Standardwert an, falls dies nicht in der Bereitstellungsanforderung angegeben wird.
- Nicht zulässige Ressourcentypen (ablehnen): Verhindert, dass die in der Liste enthaltenen Ressourcentypen bereitgestellt werden.
Richtlinienzuweisung
Richtliniendefinitionen – ganz gleich, ob benutzerdefiniert oder integriert – müssen zugewiesen werden.
Eine Richtlinienzuweisung ist eine Richtliniendefinition, die einem bestimmten Bereich zugewiesen wurde. Bereiche können sich von einer Verwaltungsgruppe bis zu einer Ressourcengruppe erstrecken.
Untergeordnete Ressourcen erben alle Richtlinienzuweisungen, die auf deren übergeordnete Ressourcen angewendet wurden.
Dies bedeutet Folgendes: Wenn eine Richtlinie auf eine Ressourcengruppe angewendet wird, wird sie für alle Ressourcen in dieser Gruppe verwendet.
Sie können jedoch Unterbereiche definieren, um Ressourcen aus Richtlinienzuweisungen auszuschließen.
Sie können Richtlinien zuweisen über:
- Azure-Portal.
- Azure-Befehlszeilenschnittstelle.
- PowerShell.
Wiederherstellung
Ressourcen, die eine der Richtlinien deployIfNotExists oder modify nicht einhalten, können über „Behebung“ konform gemacht werden.
Behebung weist Azure Policy an, den Effekt deployIfNotExists oder die Tagvorgänge der Richtlinie für vorhandene Ressourcen auszuführen.
Zur Minimierung von Konfigurationsabweichungen können Sie Ressourcen mithilfe von automatisierter Massenbehebung konform machen, statt sie jeweils einzeln zu durchlaufen.
Weitere Informationen zu Azure Policy finden Sie auf der Webseite Azure Policy.