快速入门：使用 ARM 模板创建策略分配以识别不合规的资源

项目
08/01/2024

本快速入门介绍如何使用 Azure 资源管理器模板（ARM 模板）创建策略分配以验证资源是否符合 Azure 策略。策略分配给资源组，并对不使用托管磁盘的虚拟机进行审核。创建策略分配后，可以识别不合规的虚拟机。

Azure 资源管理器模板是定义项目基础结构和配置的 JavaScript 对象表示法 (JSON) 文件。模板使用声明性语法。你可以在不编写用于创建部署的编程命令序列的情况下，描述预期部署。

如果你的环境满足先决条件，并且你熟悉如何使用 ARM 模板，请选择“部署到 Azure”按钮。模板将在 Azure 门户中打开。

先决条件

如果没有 Azure 帐户，请在开始前创建一个试用帐户。
Azure PowerShell 或 Azure CLI 。
Visual Studio Code 和 Azure 资源管理器 (ARM) 工具。
必须在 Azure 订阅中重新注册 Microsoft.PolicyInsights。要注册资源提供程序，必须具有注册资源提供程序的权限。此权限包含在“参与者”和“所有者”角色中。
具有至少一个不使用托管磁盘的虚拟机的资源组。

查看模板

ARM 模板将为资源组范围创建策略分配，并分配不使用托管磁盘的内置策略定义审核 VM。

创建以下 ARM 模板作为 policy-assignment.json。

打开 Visual Studio Code 并选择“文件”>“新建文本文件”。
将 ARM 模板复制并粘贴到 Visual Studio Code 中。
选择“文件”>“保存”，并使用文件名 policy-assignment.json。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "defaultValue": "audit-vm-managed-disks",
      "metadata": {
        "description": "Policy assignment name used in assignment's resource ID"
      }
    },
    "policyDefinitionID": {
      "type": "string",
      "defaultValue": "/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d",
      "metadata": {
        "description": "Policy definition ID"
      }
    },
    "policyDisplayName": {
      "type": "string",
      "defaultValue": "Audit VM managed disks",
      "metadata": {
        "description": "Display name for Azure portal"
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Authorization/policyAssignments",
      "apiVersion": "2023-04-01",
      "name": "[parameters('policyAssignmentName')]",
      "properties": {
        "policyDefinitionId": "[parameters('policyDefinitionID')]",
        "description": "Policy assignment to resource group scope created with ARM template",
        "displayName": "[parameters('policyDisplayName')]",
        "nonComplianceMessages": [
          {
            "message": "Virtual machines should use managed disks"
          }
        ]
      }
    }
  ],
  "outputs": {
    "assignmentId": {
      "type": "string",
      "value": "[resourceId('Microsoft.Authorization/policyAssignments', parameters('policyAssignmentName'))]"
    }
  }
}

ARM 模板中定义的资源类型为 Microsoft.Authorization/policyAssignments。

该模板使用三个参数以部署策略分配：

policyAssignmentName 创建名为 audit-vm-managed-disks 的策略分配。
policyDefinitionID 使用内置策略定义的 ID。有关参考，用于获取 ID 的命令位于用于部署模板的部分中。
policyDisplayName 创建显示在 Azure 门户中的显示名称。

有关 ARM 模板文件的详细信息：

要查找更多 ARM 模板示例，请转到浏览代码示例。
要详细了解用于部署的模板参考，请转到 Azure 模板参考。
若要了解如何开发 ARM 模板，请转到 ARM 模板文档。
要了解订阅级部署，请转到使用 ARM 模板进行订阅部署。

部署 ARM 模板

可以使用 Azure PowerShell 或 Azure CLI 部署 ARM 模板。

从 Visual Studio Code 终端会话连接到 Azure。如果具有多个订阅，请运行命令以将上下文设置为你的订阅。将 <subscriptionID> 替换为你的 Azure 订阅 ID。

PowerShell
Azure CLI

Connect-AzAccount -Environment AzureChinaCloud

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

你可以验证是否已注册 Microsoft.PolicyInsights。如果没有，运行以下命令，注册资源提供程序。

PowerShell
Azure CLI

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

有关详细信息，请转到 Get-AzResourceProvider 和 Register-AzResourceProvider。

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Azure CLI 命令使用反斜杠 (\) 进行行接续以提高可读性。有关详细信息，请转到 az provider。

以下命令显示 policyDefinitionID 参数的值：

PowerShell
Azure CLI

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

以下命令可向资源组部署策略定义。使用资源组名替换 <resourceGroupName>：

PowerShell
Azure CLI

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.json'
}

New-AzResourceGroupDeployment @deployparms

$rg 变量存储资源组的属性。 $deployparms 变量使用散点来创建参数值并提高可读性。 New-AzResourceGroupDeployment 命令使用 $deployparms 变量中定义的参数值。

Name 是资源组部署显示在输出和 Azure 中的部署名称。
ResourceGroupName 使用 $rg.ResourceGroupName 属性获取分配到策略的资源组名称。
TemplateFile 指定 ARM 模板名称及其在本地计算机上的位置。

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.json

rgname 变量使用表达式来获取资源组名称，用于部署命令。

name 是资源组部署显示在输出和 Azure 中的部署名称。
resource-group 使用分配到策略的资源组名称。
template-file 指定 ARM 模板名称及其在本地计算机上的位置。

你可以使用以下命令验证策略分配的部署：

PowerShell
Azure CLI

该命令使用 $rg.ResourceId 属性来获取资源组的 ID。

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

有关详细信息，请转到 Get-AzPolicyAssignment。

rgid 变量使用表达式获取资源组 ID，用于显示策略分配。

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

输出内容很详尽，但与以下示例相似：

"description": "Policy assignment to resource group scope created with ARM template",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-26T19:01:23.2777972Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

有关详细信息，请转到 az policy assignment。

识别不合规的资源

部署策略分配后，将会审核部署到资源组的虚拟机是否符合托管磁盘策略。

新策略分配的“符合性状态”需要几分钟才会变为活动状态并提供关于策略状态的结果。

PowerShell
Azure CLI

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

$complianceparms 变量创建在 Get-AzPolicyState 命令中使用的参数值。

ResourceGroupName 从 $rg.ResourceGroupName 属性获取资源组名称。
PolicyAssignmentName 指定创建策略分配时使用的名称。
Filter 使用表达式查找不符合策略分配的资源。

结果应如以下示例所示并且 ComplianceState 将显示 NonCompliant：

Timestamp                : 2/26/2024 19:02:56
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

有关详细信息，请转到 Get-AzPolicyState

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

policyid 变量使用表达式获取策略分配的 ID。 filter 参数将向不合规资源限制输出。

az policy state list 输出很详尽，但在本文中 complianceState 显示 NonCompliant。

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

有关详细信息，请转到 az policy state。

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

若要退出登录 Azure PowerShell 会话，请执行以下操作：

Disconnect-AzAccount

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

若要退出登录 Azure CLI 会话，请执行以下操作：

az logout

后续步骤

本快速入门已分配一个策略定义用于识别 Azure 环境中的不合规资源。

若要详细了解如何分配验证资源合规性的策略，请继续学习以下教程。

教程：创建和管理策略以强制实施符合性

通过