Azure 上的策略管理

引言

每个组织都有一套必须遵守的规章制度和合规要求。其中一些是监管性的，由外部组织施加，例如 GDPR 法规；而另一些则可能因行业而异。对金融机构施加的法规与对制造商施加的法规不同，如果组织希望获得认证，例如 ISO 认证，则需要遵守一套法规。除了外部法规和合规要求外，组织还将拥有自己需要遵守的策略。“Azure Policy”是一项服务，可帮助组织遵守并管理策略和程序，以满足监管要求。

它做什么？

Azure Policy 使公司更容易遵守策略和法规，无论这些策略和法规是外部施加的还是内部生成的。Azure Policy 可以帮助您设计、创建、分配和管理策略。此外，它还会评估您的资源并扫描策略违规情况。

创建策略定义

这是您首先要做的事情。每个策略定义都包含执行策略的条件。如果满足条件，则会产生一种效果。您可以创建自己的策略，但 Azure Policy 具有许多内置策略，包括：

• 要求 SQL Server 12.0 – 这是为了确保所有用户都使用此版本的 SQL Server
• 允许的位置 – 此策略是执行地理位置合规性要求的组成部分
• 允许的资源类型 – 此策略列出了允许的资源类型，并将拒绝访问不在列表上的任何资源类型
• 不允许的资源类型 – 使用此策略，您可以指定组织不允许部署的资源类型。

可以使用 PowerShell、Azure CLI 或 Azure 门户来实现这些策略。

分配策略

一旦定义了策略，就需要在特定范围内分配它才能实施。范围是策略定义分配到的所有订阅、管理组或资源组。此外，策略分配会由所有子资源继承；例如，如果将策略分配给资源组，则将其应用于资源组中的所有资源。

策略参数

在创建策略定义时可以定义参数，以使定义更通用。通过在分配策略定义时传入不同的值，可以使用相对通用的定义在许多不同的场景中。

定义计划

致力于一个总体目标的策略定义集合称为计划定义。通过将一组策略组合在一个计划定义中，可以简化策略定义的管理和分配。与策略定义一样，计划定义分配给特定范围，并且也可以定义参数。

策略管理建议

在开始创建策略定义时，最好从审核效果开始，而不是拒绝效果。这将允许您跟踪策略定义对环境的影响。使用拒绝效果可能会对您已经存在的任何自动化任务产生负面影响。

请记住在较高层级创建定义，例如在管理组或订阅层级。然后，可以在子层级进行分配。

由于对数据隐私的日益关注，策略和程序管理变得越来越重要，Azure Policy 使实施变得容易 - 值得一试。

历史

• 2018年12月24日 - 版本 1