Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политика Azure — это мощный инструмент для управления ресурсами Azure в соответствии с требованиями соответствия бизнес-стандартам. Когда люди, процессы или конвейеры создают или обновляют ресурсы, политика Azure проверяет запрос. Когда эффект определения политики — изменение, добавление, или развертываниеIfNotExists, политика изменяет запрос или добавляет в него. Когда эффект определения политики — audit или auditIfNotExists, политика приводит к созданию записи в журнале действий для новых и обновленных ресурсов. И если эффект определения политики deny или denyAction, политика останавливает создание или изменение запроса.
Это ожидаемые результаты, если известно, что политика определена правильно. Однако важно проверить, что новая политика работает так, как задумано, прежде чем разрешить ей изменять или блокировать работу. Проверка должна гарантировать, что только требуемые ресурсы будут определены как не соответствующие требованиям, а соответствующие ресурсы не будут ошибочно включены в список (так называемый ложноположительный результат).
Для проверки нового определения политики рекомендуется выполнить следующие действия.
- Строго определите политику.
- Проверьте эффективность политики.
- Выполните аудит новых или обновленных запросов ресурсов.
- Разверните политику в ресурсах.
- Непрерывный мониторинг.
Строгое определение политики
Важно понимать, как бизнес-политика реализуется в виде определения политики и как ресурсы Azure связаны с другими службами Azure. Этот шаг выполняется путем определения требований и определения свойств ресурсов. Также важно не ограничиваться узким определением бизнес-политики. Например, указывает ли политика, что все Виртуальные машины должны...? Что касается других служб Azure, использующих виртуальные машины, такие как HDInsight или Служба Azure Kubernetes (AKS)? При определении политики необходимо учитывать, как эта политика влияет на ресурсы, используемые другими службами.
По этой причине определения политик должны быть строгими и направленными на ресурсы и свойства, которые необходимо проверить на соответствие.
Проверка эффективности политики
Прежде чем начать управление новыми или обновленными ресурсами с помощью нового определения политики, нужно понять, как она оценивает ограниченное подмножество существующих ресурсов, например тестовую группу ресурсов. Расширение Azure Policy для VS Code позволяет проводить изолированное тестирование определений на существующих ресурсах Azure с помощью сканирования по запросу. Вы также можете назначить определение в среде разработки, используя режим принудительного примененияОтключено (doNotEnforce) для назначения политики, чтобы предотвратить запуск или создание записей журнала действий.
Этот шаг дает возможность оценить результаты проверки соответствия новой политики для существующих ресурсов без влияния на рабочий процесс. Убедитесь, что соответствующие ресурсы не отображаются как несоответствующие (ложноположительные) и что все ресурсы, которые вы ожидаете, не соответствуют требованиям, помечены правильно. После того как начальное подмножество ресурсов проверяется должным образом, медленно расширяйте оценку на большее количество существующих ресурсов и более широкие области.
Оценка существующих ресурсов таким образом также позволяет исправлять несоответствующие ресурсы до полной реализации новой политики. Эту очистку можно выполнить вручную или с помощью задачи исправления, если эффект определения политики deployIfNotExists или modify.
Определения политик с deployIfNotExists должны использовать функцию "что если" в шаблоне Azure Resource Manager для проверки и тестирования изменений, происходящих при развертывании шаблона ARM.
Аудит новых или обновленных ресурсов
После того как вы убедитесь, что новое определение политики правильно отслеживает существующие ресурсы, пришло время оценить влияние политики на ресурсы при их создании или обновлении. Если определение политики поддерживает параметризацию эффектов, используйте audit или auditIfNotExist. Эта конфигурация позволяет отслеживать создание и обновление ресурсов, чтобы узнать, активирует ли новое определение политики запись в журнале действий Azure для ресурса, который не соответствует требованиям, не влияя на существующие рабочие или запросы.
Рекомендация заключается в обновлении и создании новых ресурсов, которые соответствуют определению политики, чтобы увидеть, что audit или auditIfNotExists эффект активируется правильно, когда ожидается. Следите за запросами ресурсов, которые не должны подпадать под новое определение политики, вызывающее эффект audit или auditIfNotExists. Эти затронутые ресурсы являются еще одним примером ложноположительного результата и должны быть исправлены в определении политики до полной реализации.
В случае изменения определения политики на этом этапе тестирования рекомендуется начать процесс проверки с аудитом существующих ресурсов. Изменение определения политики для ложно-положительного результата ресурсов, новых или обновленных, скорее всего, будет иметь также влияние на существующие ресурсы.
Разверните свою политику на ресурсы
После завершения проверки нового определения политики с помощью существующих ресурсов и новых или обновленных запросов ресурсов начинается процесс реализации политики. Рекомендуется сначала создать назначение политики для нового определения политики, применив его к подмножеству всех ресурсов, например, к группе ресурсов. Можно дополнительно фильтровать по типу ресурса или расположению с помощью свойства resourceSelectors в назначении политики. После проверки начального развертывания расширьте область политики до более широкой группы ресурсов. После проверки первоначального развертывания разверните эффект политики, изменив resourceSelector фильтры, чтобы определить больше расположений или типов ресурсов. Или, удалив назначение и заменив его новым назначением, охватывающим более широкие области, такие как подписки и группы администрирования. Продолжайте это постепенное развертывание, пока оно не будет применено ко всему объему ресурсов, которые должны быть охвачены новым определением политики.
Если при выпуске обнаружены ресурсы, которые должны быть исключены из нового определения политики, проблему можно устранить одним из следующих способов.
- Обновите определение политики, чтобы быть более явным, чтобы уменьшить непредвиденные последствия.
- Измените область назначения политики (путем удаления и создания нового назначения).
- Добавьте группу ресурсов в список исключений для назначения политики.
Все изменения в области (уровень или исключения) должны быть полностью проверены и согласованы с отделами безопасности и соответствия требованиям, чтобы гарантировать, что все будет учтено.
Мониторинг политики и соответствия требованиям
Реализация и назначение определения политики — это не последний шаг. Непрерывно отслеживайте уровень соответствия ресурсов для нового определения политики и настраивайте соответствующие предупреждения и уведомления Azure Monitor при обнаружении несоответствующих устройств. Рекомендация заключается в оценке определения политики и связанных назначений на запланированной основе для проверки того, что определение политики соответствует требованиям бизнес-политики и соответствия требованиям. Ненужные политики необходимо удалять. Политики также должны обновляться от времени по мере развития базовых ресурсов Azure и добавления новых свойств и возможностей.
Следующие шаги
- Узнайте больше о структуре определения политик.
- Узнайте больше о структуре назначения политик.
- Узнайте о программном создании политик.
- Узнайте, как получать данные о соответствии.
- Узнайте, как исправлять несоответствующие ресурсы.
- Дополнительные сведения о группе управления см. в статье Упорядочивание ресурсов с помощью групп управления Azure.