Utilizar políticas para impor normas

  • 7 minutos

Melhorou a organização dos seus recursos em grupos de recursos e aplicou etiquetas aos seus recursos para os utilizar em relatórios de faturação e na sua solução de monitorização. As etiquetas e os grupos de recursos fizeram a diferença nos recursos existentes, mas como pode garantir que os novos recursos seguem as regras? Vamos analisar a forma como as políticas podem ajudá-lo a impor normas no seu ambiente do Azure.

O que é o Azure Policy?

O Azure Policy é um serviço que pode utilizar para criar, atribuir e gerir políticas. Estas políticas aplicam e impõem regras que os seus recursos têm de seguir. Essas políticas podem impor essas regras quando os recursos são criados, e você pode avaliá-las em relação aos recursos existentes para dar visibilidade à conformidade.

As políticas podem impor regras como permitir que apenas tipos específicos de recursos sejam criados ou permitir apenas recursos em regiões específicas do Azure. Pode impor convenções de nomenclatura no seu ambiente do Azure. Também pode impor que essas etiquetas específicas sejam aplicadas aos recursos. Vejamos como as políticas funcionam.

Criar uma política

Você gostaria de garantir que todos os recursos tenham a tag Department associada a eles e bloquear a criação se a tag não existir. Você precisará criar uma nova definição de política e atribuí-la a um escopo; Nesse caso, o escopo é nosso grupo de recursos MSFTLEARN-Core-Infrastructure-RG . Você pode criar e atribuir políticas por meio do portal do Azure, do Azure PowerShell ou da CLI do Azure. Este exercício guia-o ao longo da criação de uma política no portal.

Criar a definição de política

  1. Navegue até ao portal do Azure num browser, caso ainda não o tenha feito. Na caixa de pesquisa na barra de navegação superior, procure Política e selecione o serviço Política.

  2. Selecione o painel Definições na secção Criação de conteúdos no menu à esquerda.

  3. Deverá ver uma lista de políticas incorporadas que pode utilizar. Nesse caso, você criará sua própria política personalizada. Selecione + Definição de política no menu superior.

  4. Este botão apresenta a caixa de diálogo Nova definição de política. Para definir o local da definição, selecione o seletor azul Iniciar escopo (...). Selecione a assinatura na qual a política está armazenada, que deve ser a mesma assinatura do seu grupo de recursos. Selecione o botão Selecionar.

  5. De volta à caixa de diálogo Nova definição de política, insira Impor marca no recurso no campo Nome.

  6. Em Descrição, introduza Esta política impõe a existência de uma etiqueta num recurso.

  7. Em Categoria, selecione Usar existente e, em seguida, selecione a categoria Geral .

  8. Para a regra Política, exclua todo o texto na caixa e cole no seguinte JSON:

    {
  "mode": "Indexed",
  "policyRule": {
    "if": {
      "field": "[concat('tags[', parameters('tagName'), ']')]",
      "exists": "false"
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {
    "tagName": {
      "type": "String",
      "metadata": {
        "displayName": "Tag Name",
        "description": "Name of the tag, such as 'environment'"
      }
    }
  }
}

    Sua definição de política deve ser semelhante ao exemplo a seguir. Selecione Salvar para salvar sua definição de política.

    Captura de ecrã do portal do Azure a mostrar a caixa de diálogo Nova definição de política.

Criar uma atribuição de política

Criou a política, mas ainda não a colocou em vigor. Para ativar a política, precisa de criar uma atribuição. Nesse caso, você o atribuirá ao escopo do seu grupo de recursos msftlearn-core-infrastructure-rg para que ele se aplique a qualquer coisa dentro do grupo de recursos.

  1. Retorne ao painel Política e selecione Atribuições na seção Criação à esquerda.

  2. Selecione Atribuir política na parte superior.

  3. No painel Atribuir política, irá atribuir a sua política ao seu grupo de recursos. Em Escopo, selecione o seletor azul Iniciar escopo (...). Selecione sua assinatura e o grupo de recursos msftlearn-core-infrastructure-rg e, em seguida, selecione o botão Selecionar .

  4. Para Definição de política, selecione o seletor azul de definição de política Iniciar (...). Na lista pendente Tipo , selecione Personalizado, selecione a etiqueta Impor na política de recursos que criou e, em seguida, selecione o botão Adicionar .

  5. Selecione a guia Parâmetros na parte superior da tela.

  6. No painel Parâmetros, insira Departamento para o nome da marca.

  7. Selecione Rever + criar e, em seguida, selecione Criar para criar a atribuição.

Testar a política

Agora que você atribuiu a política ao seu grupo de recursos, todas as tentativas de criar um recurso sem a tag Department falharão.

Importante

Tenha em atenção que a atribuição da política pode demorar até 30 minutos a entrar em vigor. Devido a esse atraso, nas etapas a seguir a validação da política pode ser bem-sucedida, mas a implantação ainda falhará. Se isto acontecer, aguarde mais um pouco e tente efetuar novamente a implementação.

  1. No menu do portal do Azure ou a partir da Home Page, selecione Criar um recurso.

  2. Procure e selecione Conta de armazenamento. Nos resultados, selecione Criar.

  3. Selecione a sua subscrição e, em seguida, selecione o grupo de recursos msftlearn-core-infrastructure-rg .

  4. Atribua um nome à sua escolha em Nome da conta de armazenamento, mas tenha em atenção que tem de ser um nome globalmente exclusivo.

  5. Deixe o restante das opções como padrão e selecione Revisar + criar.

    Sua validação de criação de recursos falhará porque você não tem uma tag Department aplicada ao recurso. Se a política não tiver causado uma falha de validação, talvez seja necessário aguardar mais alguns minutos para que ela seja habilitada.

    Captura de ecrã do portal do Azure a mostrar a falha de uma validação de política numa nova conta de armazenamento sem uma etiqueta.

    Corrija a infração para conseguir implementar a conta de armazenamento com êxito.

  6. Selecione Etiquetas na parte superior do painel Criar conta de armazenamento.

  7. Adicione uma etiqueta Department:Finance à lista.

    Captura de ecrã do portal do Azure a mostrar uma nova etiqueta Departamento para adicionar durante a criação.

  8. Agora clique em Rever + criar. A validação será aprovada e, se você selecionar Criar, sua conta de armazenamento será criada.

Utilizar políticas para impor normas

Você viu como pode usar políticas para garantir que seus recursos tenham as tags que organizam seus recursos. Existem outras formas de utilizar as políticas em nosso benefício.

Você pode usar uma política para restringir a quais regiões do Azure você pode implantar recursos. Para organizações fortemente regulamentadas ou com restrições legais ou regulatórias sobre onde os dados podem residir, as políticas ajudam a garantir que os recursos não sejam provisionados em áreas geográficas que vão contra esses requisitos.

Você pode usar uma política para restringir quais tipos de tamanhos de máquina virtual podem ser implantados. Talvez você queira permitir grandes tamanhos de VM em suas assinaturas de produção, mas talvez queira garantir que mantém os custos minimizados em suas assinaturas de desenvolvimento. Ao recusar tamanhos de VMs grandes através da política nas suas subscrições de desenvolvimento, pode garantir que as mesmas não são implementadas nestes ambientes.

Você também pode usar uma política para impor convenções de nomenclatura. Caso a sua organização tenha convenções de nomenclatura específicas padronizadas, a utilização de políticas para impor as convenções ajuda-nos a manter uma nomenclatura padrão consistente em todos os seus recursos do Azure.