Аудит соответствия реестров контейнеров Azure с помощью политики Azure

Политика Azure — это служба в Azure, используемая для создания, назначения и управления определениями политик. Эти определения политики применяют различные правила и эффекты над ресурсами, поэтому эти ресурсы остаются совместимыми с корпоративными стандартами и соглашениями об уровне обслуживания.

В этой статье описывается аудит соответствия с помощью встроенных определений политик Политики Azure для Реестра контейнеров Azure. Используйте эти определения для аудита новых и существующих реестров для соответствия требованиям.

Плата за использование политики Azure не взимается.

Создание назначений политик реестра контейнеров

Создайте назначения политик с помощью портала Azure, Azure CLI, шаблона Resource Manager или пакетов SDK для политики Azure. Включите или отключите принудительное применение политик в любое время.

Вы можете ограничить назначение политики в группе ресурсов, подписке или группе управления Azure. Назначения политик реестра контейнеров применяются к существующим и новым реестрам контейнеров в рамках области действия.

Замечание

После создания или обновления назначения политики требуется некоторое время для оценки ресурсов в определенной области. Дополнительные сведения см. в разделе "Триггеры оценки политики".

Проверка соответствия политик реестра контейнеров

Получите доступ к информации о соответствии требованиям, созданной вашими назначениями политик, с помощью портала Azure, средств командной строки Azure или пакетов SDK для Azure Policy. Дополнительные сведения см. в статье "Получение данных о соответствии ресурсам Azure".

Существует множество возможных причин, по которым ресурс может быть несоответствующим. Чтобы определить причину или найти изменение, см. статью "Определение несоответствия".

Проверка соответствия политик на портале Azure

  1. На портале Azure найдите политику.
  2. Выберите Соответствие.
  3. Использование фильтров для ограничения состояний соответствия требованиям или поиска политик
  4. Выберите политику для просмотра статистических сведений о соответствии и событий. При необходимости выберите определенный реестр для соответствия ресурсам.

Проверка соответствия политик с помощью Azure CLI

Вы также можете использовать Azure CLI для получения данных о соответствии. Например, используйте команду az policy assignment list в интерфейсе командной строки, чтобы получить идентификаторы политик политик реестра контейнеров Azure, которые применяются:

az policy assignment list --query "[?contains(displayName,'Container Registries')].{name:displayName, ID:id}" --output table

Образец вывода:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
Container Registries should not allow unrestricted network access           /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/b4faf132dc344b84ba68a441
Container Registries should be encrypted with a Customer-Managed Key (CMK)  /subscriptions/<subscriptionID>/providers/Microsoft.Authorization/policyAssignments/cce1ed4f38a147ad994ab60a

Запустите az policy state list , чтобы вернуть состояние соответствия в формате JSON для всех ресурсов в соответствии с определенным идентификатором политики:

az policy state list \
  --resource <policyID>

Или запустите az policy state list , чтобы вернуть состояние соответствия в формате JSON определенного ресурса реестра, например myregistry:

az policy state list \
 --resource myregistry \
 --namespace Microsoft.ContainerRegistry \
 --resource-type registries \
 --resource-group myresourcegroup

Дальнейшие шаги