Gestire i criteri di Azure usando il modulo criteri dell'hub di Azure Stack

Il modulo criteri di Azure Stack Hub consente di configurare una sottoscrizione di Azure con lo stesso controllo delle versioni e disponibilità del servizio di Azure Stack Hub. Il modulo usa la cmdlet New-AzPolicyDefinition di PowerShell per creare criteri di Azure, che limita i tipi di risorse e i servizi disponibili in una sottoscrizione. Creare quindi un'assegnazione di criteri all'interno dell'ambito appropriato usando il cmdlet New-AzPolicyAssignment. Dopo aver configurato i criteri, è possibile usare la sottoscrizione di Azure per sviluppare app destinate all'hub di Azure Stack.

Installare il modulo

1. Installare la versione richiesta del modulo Az PowerShell, come descritto nel passaggio 1 di Installare PowerShell per l'hub di Azure Stack.

2. Scaricare gli strumenti dell'hub di Azure Stack da GitHub.

3. Configurare PowerShell per l'uso con l'hub di Azure Stack.

4. Importare il modulo AzureStack.Policy.psm1:

   Import-Module .\Policy\AzureStack.Policy.psm1
   

Applicare criteri alla sottoscrizione di Azure

È possibile usare i comandi seguenti per applicare un criterio predefinito dell'hub di Azure Stack alla sottoscrizione di Azure. Prima di eseguire questi comandi, sostituire Azure subscription name con il nome della sottoscrizione di Azure.

Connect-AzAccount
$s = Select-AzSubscription -SubscriptionName "Azure subscription name"
$policy = New-AzPolicyDefinition -Name AzureStackPolicyDefinition -Policy (Get-AzsPolicy)
$subscriptionID = $s.Subscription.SubscriptionId
New-AzPolicyAssignment -Name AzureStack -PolicyDefinition $policy -Scope /subscriptions/$subscriptionID

Add-AzureRMAccount
$s = Select-AzureRMSubscription -SubscriptionName "Azure subscription name"
$policy = New-AzureRMPolicyDefinition -Name AzureStackPolicyDefinition -Policy (Get-AzsPolicy)
$subscriptionID = $s.Subscription.SubscriptionId
New-AzureRMPolicyAssignment -Name AzureStack -PolicyDefinition $policy -Scope /subscriptions/$subscriptionID

Applicare criteri a un gruppo di risorse

È possibile applicare criteri più granulari. Ad esempio, potrebbero essere presenti altre risorse in esecuzione nello stesso abbonamento. È possibile definire l'ambito dell'applicazione criteri in un gruppo di risorse specifico, che consente di testare le app per l'hub di Azure Stack usando le risorse di Azure. Prima di eseguire i comandi seguenti, sostituire Azure subscription name con il nome della sottoscrizione di Azure:

Connect-AzAccount
$rgName = 'myRG01'
$s = Select-AzSubscription -SubscriptionName "Azure subscription name"
$policy = New-AzPolicyDefinition -Name AzureStackPolicyDefinition -Policy (Get-AzsPolicy)
$subscriptionID = $s.Subscription.SubscriptionId
New-AzPolicyAssignment -Name AzureStack -PolicyDefinition $policy -Scope /subscriptions/$subscriptionID/resourceGroups/$rgName

Add-AzureRMAccount
$rgName = 'myRG01'
$s = Select-AzureRMSubscription -SubscriptionName "Azure subscription name"
$policy = New-AzureRMPolicyDefinition -Name AzureStackPolicyDefinition -Policy (Get-AzsPolicy)
$subscriptionID = $s.Subscription.SubscriptionId
New-AzureRMPolicyAssignment -Name AzureStack -PolicyDefinition $policy -Scope /subscriptions/$subscriptionID/resourceGroups/$rgName

Politica in azione

Dopo aver distribuito i criteri di Azure, viene visualizzato un errore quando si tenta di distribuire una risorsa non consentita dai criteri:

Passaggi successivi

• Distribuire modelli con PowerShell
• Distribuire modelli con l'interfaccia della riga di comando di Azure
• Distribuire modelli con Visual Studio