创建策略分配以识别不合规资源。

若要了解 Azure 中的符合性,第一步是确定资源的状态。 本快速入门逐步讲解如何创建策略分配,以识别未使用托管磁盘的虚拟机。

此过程结束时,你可以成功识别哪些虚拟机未使用托管磁盘。 这些虚拟机不符合策略分配要求。

先决条件

如果没有 Azure 订阅,请在开始前创建一个试用版订阅帐户。

创建策略分配

本快速入门将创建一个策略分配,并分配“审核未使用托管磁盘的 VM”策略定义。

  1. 在 Azure 门户中选择“所有服务”,然后搜索并选择“策略”,以便启动 Azure Policy 服务。

    在“所有服务”中搜索“Policy”的屏幕截图。

  2. 选择“Azure Policy”页左侧的“分配”。 分配即为在特定范围内分配策略以供执行。

    在“策略概览”页上选择“分配”页的屏幕截图。

  3. 在“策略 - 分配”页的顶部选择“分配策略”。

    在“分配”页上选择“分配策略”的屏幕截图。

  4. 在“分配策略”页上,通过选择省略号然后选择管理组或订阅,设置“范围”。 或者,请选择一个资源组。 范围用于确定对其强制执行策略分配的资源或资源组。 然后使用“范围”页底部的“选择”按钮。

    此示例使用 Contoso 订阅。 你的订阅将有所不同。

  5. 可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的,因此暂时将其留空。

  6. 选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带可供使用的内置策略定义。 许多是可用的,例如:

    • 强制实施标记和值
    • 应用标记和值
    • 从资源组继承标记(如果缺少此标记)

    有关可用内置策略的部分列表,请参阅 Azure Policy 示例

  7. 在策略定义列表中搜索,找到“审核未使用托管磁盘的 VM”定义。 选择该策略,然后使用“选择”按钮。

    筛选可用定义的屏幕截图。

  8. “分配名称”中自动填充了所选的策略名称,但可以更改它。 对于此示例,请保留“审核未使用托管磁盘的 VM”。 还可根据需要添加“说明”。 该说明提供有关此策略分配的详细信息。 将根据登录的用户自动填写“分配者”。 此字段是可选字段,因此可输入自定义值。

  9. 让“策略强制”保持在“已启用”状态。 有关详细信息,请参阅策略分配 - 强制模式

  10. 选择页面底部的“下一步”或页面顶部的“参数”选项卡,转到分配向导的下一部分 。

  11. 如果在“基本”选项卡上选中的策略定义包含参数,则在此选项卡上对其进行配置。由于“审核不使用托管磁盘的 VM”没有参数,因此请选择页面底部的“下一步”或页面顶部的“修正”选项卡,转到分配向导的下一部分 。

  12. 不选中“创建托管标识”。 当策略或计划包含具有 deployIfNotExistsmodify 效果的策略时,必须勾选此框。 由于本快速入门所使用的策略中未包含上述策略,请将其留空。 有关详细信息,请参阅托管标识修正安全性工作原理

  13. 选择页面底部的“下一步”或页面顶部的“不合规消息”选项卡,转到分配向导的下一部分 。

  14. 将“不合规消息”设置为“虚拟机应使用托管磁盘”。 当拒绝某个资源时或在常规评估期间针对不合规资源会显示此自定义消息。

  15. 选择页面底部的“下一步”或页面顶部的“查看 + 创建”选项卡,转到分配向导的下一部分 。

  16. 查看选中的选项,然后在页面底部选择“创建”。

你现已准备好识别不合规的资源,了解环境的符合性状态。

识别不合规的资源

选择页面左侧的“符合性”。 然后找到所创建的“审核未使用托管磁盘的 VM”策略分配。

“策略符合性”页上符合性详细信息的屏幕截图。

如果存在与此新分配不相符的任何现有资源,这些资源会在“不符合的资源”下显示 。

针对现有资源评估某条件时,如果结果为 true,则会将这些资源标记为与策略不符。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为符合或不符合。

资源状态 效果 策略评估 符合性状态
新功能或更新功能 Audit、Modify、AuditIfNotExist True 不合规
新功能或更新功能 Audit、Modify、AuditIfNotExist False 符合
Exists Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist True 不合规
Exists Deny、Audit、Append、Modify、DeployIfNotExist、AuditIfNotExist False 符合

备注

DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE,而存在条件为 FALSE,即为不符合。 如果为 TRUE,则 IF 条件会触发相关资源存在条件的计算。

清理资源

删除创建的分配,请执行以下步骤:

  1. 选择“Azure Policy”页面左侧中的“符合性”(或“分配”)并找到你创建的“审核未使用托管磁盘的 VM”策略分配。

  2. 右键单击“审核不使用托管磁盘的 VM”策略分配并选择“删除分配”。

    使用上下文菜单从“符合性”页中删除分配的屏幕截图。

后续步骤

在本快速入门中,你向某个范围分配了策略定义并评估了其符合性报告。 策略定义可验证范围内的所有资源都符合策略,并可标识不符合策略的资源。

要了解有关分配策略以验证新资源是否符合要求的详细信息,请继续以下教程: