Поделиться через

Учебное пособие: Запретить типы ресурсов в облачной среде

Одной из популярных целей управления облаком является ограничение того, какие типы ресурсов разрешены в среде. Предприятия имеют множество мотиваций для ограничений типа ресурсов. Например, типы ресурсов могут быть дорогостоящими или могут противоречить бизнес-стандартам и стратегиям. Вместо использования многих политик для отдельных типов ресурсов Политика Azure предлагает две встроенные политики для достижения этой цели:

Имя.
(портал Azure)		 Описание Действие Версия
(GitHub)
Допустимые типы ресурсов Эта политика позволяет указать типы ресурсов, которые ваша организация может развертывать. Эта политика влияет только на типы ресурсов, поддерживающие теги и расположение. Чтобы ограничить все ресурсы, дублируйте эту политику и измените "режим" на "Все". отрицать 1.0.0
Недопустимые типы ресурсов Ограничьте типы ресурсов, которые могут быть развернуты в вашей среде. Ограничение типов ресурсов может снизить сложность и поверхность атаки вашей среды, а также помочь управлять затратами. Результаты обеспечения соответствия отображаются только для несоответствующих ресурсов. Аудит, Отказ, Отключено 2.0.0

В этом руководстве вы применяете политику «Не разрешенные типы ресурсов» и управляете типами ресурсов в масштабе через портал Microsoft Azure.

Предварительные условия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Назначьте определение политики

Первым шагом в отключении типов ресурсов является назначение определения политики "Не разрешенные типы ресурсов".

  1. Перейдите в раздел "Не разрешенные типы ресурсов" в портал Azure.

    Снимок экрана: экран сведений о определении политики

  2. Нажмите кнопку "Назначить " в верхней части страницы.

  3. На вкладке "Основные сведения" задайте область, выбрав многоточие и выбрав группу управления, подписку или группу ресурсов. Убедитесь, что выбранная область имеет по крайней мере одну подобласти. Теперь щелкните Выбрать в нижней части страницы Область.

    В этом примере используется подписка Contoso.

    Примечание.

    Если назначить это определение политики области корневой группы управления, портал может обнаружить запрещенные типы ресурсов и отключить их в представлении "Все службы" , чтобы пользователи портала знали об ограничении, прежде чем пытаться развернуть запрещенный ресурс.

  4. Ресурсы можно исключить на основе параметра Область. Исключения начинаются на один уровень ниже уровня параметра Область. Исключения являются необязательными, поэтому пока оставьте это поле пустым.

  5. Имя назначения автоматически заполняется выбранным именем определения политики, но его можно изменить. Вы также можете добавить необязательное описание для предоставления сведений об этом назначении политики.

  6. Для параметра Применение политик сохраните значение Включено. При выборе варианта Отключено вы сможете проверить результат применения политики, не запуская соответствующее действие. Дополнительные сведения о режиме применения политик см. здесь.

  7. Кем назначено заполняется автоматически на основе того, кто вошел в систему. Это поле не является обязательным, поэтому можно ввести произвольные значения.

  8. В верхней части страницы мастера выберите вкладку Параметры. В этом руководстве пропускается вкладка "Дополнительно ".

  9. Для параметра "Не разрешенные типы ресурсов" используйте раскрывающийся список для поиска и выбора типов ресурсов, которые не должны быть разрешены в облачной среде.

  10. Это определение политики не имеет эффектов modify или deployIfNotExists, поэтому оно не поддерживает задачи по исправлению. В этом руководстве пропустите вкладку "Исправление ".

  11. В верхней части окна мастера выберите вкладку Сообщения о несоответствии.

  12. Установите сообщение о несоответствии как Этот тип ресурса не разрешен. Это пользовательское сообщение отображается, когда ресурс отклоняется или определяется как несоответствующий во время регулярной оценки.

  13. В верхней части мастера настройки выберите вкладку Просмотр и создание.

  14. Проверьте выбранные значения и щелкните Создать в нижней части страницы.

Просмотр отключенных типов ресурсов в портале Azure

Этот шаг применяется только в том случае, если политика была назначена в области корневой группы управления.

Теперь, когда вы назначили встроенное определение политики, перейдите к разделу "Все службы". портал Azure знает о запрещенных типах ресурсов из этого назначения политики и отключает их в Страница "Все службы". Параметр create недоступен для отключенных типов ресурсов.

Примечание.

Если вы назначите это определение политики корневой группе управления, пользователи увидят следующее уведомление при первом входе в систему или если политика изменится после входа в систему.

Администратор изменил политику для вашей учетной записи. Рекомендуется обновить портал, чтобы использовать обновленные политики.

Снимок экрана: запрещенные ресурсы в колонке

Создание исключения

Теперь предположим, что одной подобласти должна быть предоставлена возможность отключать типы ресурсов этой политикой. Давайте создадим исключение в этом контексте, чтобы ограниченные ресурсы могли быть развернуты там.

Предупреждение

Если вы назначите это определение политики для охвата корневой группы управления, портал Azure не сможет обнаружить исключения на уровнях с меньшим охватом. Ресурсы, запрещенные назначением политики, будут отображаться как отключенные из списка всех служб , а параметр "Создать " недоступен. Но вы можете создавать ресурсы в освобожденной области с такими клиентами, как Azure CLI, Azure PowerShell или шаблоны Azure Resource Manager.

  1. Выберите Назначения в разделе Авторинг на левой панели страницы Политики Azure.

  2. Найдите назначение политики, которое вы создали.

  3. Нажмите кнопку "Создать исключение" в верхней части страницы.

  4. На вкладке "Основные сведения" выберите область исключения, которая является подобласти, которая должна быть разрешена иметь ресурсы, ограниченные этим назначением политики.

  5. Заполните название исключения нужным текстом и оставьте категорию исключения по умолчанию отказ. Не переключайте переключатель для параметра истечения срока действия исключения, так как это исключение не истекает. При необходимости добавьте описание исключения и выберите "Просмотр и создание".

  6. Это руководство пропускает вкладку "Дополнительно". На вкладке "Проверка + создание" выберите "Создать".

  7. Чтобы просмотреть исключение, выберите «Исключения» в разделе «Создание» в левой части страницы Azure Policy.

Теперь в подобласти могут быть типы ресурсов, запрещенные политикой.

Очистка ресурсов

Если вы закончите работу с ресурсами из этого руководства, выполните следующие действия, чтобы удалить любые назначения или определения политики, созданные в этом руководстве:

  1. Выберите Определения (или Назначения, если вы пытаетесь удалить назначение) в разделе Разработка в левой части страницы службы Политика Azure.

  2. Найдите новую инициативу либо определение политики (или назначение), которые вы хотите удалить.

  3. Щелкните строку правой кнопкой мыши или выберите многоточие в конце определения (или назначения), а затем выберите Удалить определение (или Удаление назначения).

Отзыв

В этом руководстве вы успешно выполнили следующие действия:

  • Назначена встроенная политика не разрешенных типов ресурсов для запрета создания запрещенных типов ресурсов
  • Создано исключение для задания этой политики в подобласти.

С помощью этой встроенной политики вы указали типы ресурсов, которые не разрешены. Альтернативный более строгий подход — указать типы ресурсов, которые разрешены с помощью встроенной политики разрешенных типов ресурсов.

Примечание.

Все службы портала Azure отключат только те ресурсы, которые не указаны в политике разрешенных типов ресурсов, если mode установлено на All, и политика назначена на уровне корневой группы управления. Это связано с тем, что он проверяет все типы ресурсов независимо от tags и locations. Если вы хотите, чтобы портал вел себя таким образом, сделайте копию встроенной политики разрешенных типов ресурсов и измените её с Indexed на All, затем назначьте её на область корневой группы управления.

Следующие шаги

Дополнительные сведения о структурах определений политик, назначений и исключений см. в следующих статьях:

структура определения Политики Azureструктура назначения Политики Azureструктура исключения Политики Azure

Чтобы просмотреть полный список встроенных примеров политик, просмотрите эту статью:

Структура определения политики Azure