Azure 정책 - 고급 개요
Azure에서 대량의 작업 부하를 구축하는 것은 흥미로운 일이지만 이러한 환경에 대한 관리와 통제는 종종 도전에 부딪힐 수 있다.자원에 대한 주동적인 모니터링을 소홀히 하면 구름 속의 환경을 관리할 수 없기 때문에 테스트 개발과 생산 단계에서 보통 몇 시간 동안 작업 부하를 간소화해야 한다.
Azure 정책은 조직 표준을 적용하고 대규모 규정 준수를 실시간으로 평가하는 데 도움이 됩니다.클릭 한 번으로 규정 준수 및 규정 준수 실패 리소스를 단일 대시보드 관리할 수 있습니다.예를 들어, 당신은 배치 구역을 정의할 수 있고, 허용된 구역 이외에 어떤 자원을 배치할 수 있는지 확보할 수 있습니다.
카탈로그
Policy Types
개술
Azure 정책은 Azure에 정의된 리소스의 속성을 JSON 형식에 정의된 비즈니스 규칙(정의)과 비교하여 리소스를 평가합니다.여러 개의 개별 전략을 배치할 수 있습니다. 그러나, 정책 제안은 많은 정의를 조합해서 관리를 간소화합니다.
정책 정의를 정의하면 관리 그룹, 구독, 자원 그룹, 단일 자원 등 다양한 역할 영역을 사용하는 자원에 적용됩니다.정책 정의는 범위 내의 모든 자원에 적용됩니다.
정책 유형
정책 정의
각 정책 정의는 JSON 객체입니다.정책의 핵심 구성 요소는 그 조건이다. 정책이 겨냥한 모든 자원의 효과와 실시 유형을 정의한다.내장 정책을 많이 사용해야 합니다.아래에서 내장 구성 요소 목록을 찾습니다.
[내장 정책 정의 목록 - Azure 정책https://docs.microsoft.com/en-us/azure/governance/policy/samples/built-in-policies
각 정책 정의에는 정책의 구조를 정의하는 요소가 있습니다.
정책 정의
각 정책 정의는 JSON 객체입니다.정책의 핵심 구성 요소는 그 조건이다. 정책이 겨냥한 모든 자원의 효과와 실시 유형을 정의한다.내장 정책을 많이 사용해야 합니다.아래에서 내장 구성 요소 목록을 찾습니다.
[내장 정책 정의 목록 - Azure 정책https://docs.microsoft.com/en-us/azure/governance/policy/samples/built-in-policies
각 정책 정의에는 정책의 구조를 정의하는 요소가 있습니다.
{
"properties": {
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"mode": "Indexed",
"metadata": {
"version": "1.0.0",
"category": "Locations"
},
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
},
"defaultValue": ["westus2"]
}
},
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
제안 정의
제안은 단일 목표를 위한 맞춤형 정책 정의 집합이다.이 계획은 여러 전략의 관리와 평가를 간소화시켰다.
Azure PowerShell 및 Azure CLI는 속성 및 매개변수 이름 정책 세트를 사용하여 계획을 참조합니다.
사용자 정의 정책 정의를 작성하여 계획으로 사용하려면 Microsoft Docs 웹 사이트의 절차를 따르십시오.
Tutorial: Build policies to enforce compliance - Azure Policy
숙제
분배란 특정 범위에 분배되는 정책 정의나 계획을 가리킨다.최상위 항목(예를 들어 관리 그룹과 구독)에 적용되면 하위 자원은 분배를 계승합니다.
Azure Policy is an explicit deny system. If a top-level policy on a management group or subscription is set to deny any action, you won't be able to allow it specifically using policy at a resource level(child level).
내장 정책을 사용하여 정책 할당을 만들 수 있습니다.할당 명령을 실행하기 전에 get-AzPolicyDefinition 명령을 사용하여 정책의 정책 Id를 가져오십시오. 다음과 같습니다.
#use PowerShell to get Policy
$Policy = Get-AzPolicyDefinition -Builtin | where {$_.Properties.DisplayName -like "PolicyName"}
#Output
Name : 0473574d-2d43-4217-aefe-941fcdf7e684
ResourceId : /providers/Microsoft.Authorization/policyDefinitions/0473574d-2d43-4217-aefe-941fcdf7e684
ResourceName : 0473574d-2d43-4217-aefe-941fcdf7e684
ResourceType : Microsoft.Authorization/policyDefinitions
SubscriptionId :
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/0473574d-2d43-4217-aefe-941fcdf7e684
$Policy
변수를 정책 인용으로 사용하고 명령New-AzPolicyAssignment
을 실행하여 내장된 정의에 따라 정책을 만듭니다.범위는 형식/subscriptions/subscriptionId
이어야 합니다.$Assignment = New-AzPolicyAssignment -Name '<name>' -Scope '<scope>' -PolicyDefinitions $Policy
사용 권한
Azure 정책은
Make sure you have "Owner" permission on subscription to create definitions or assignments. "Contributor" role user can only trigger the resource remediation.
다음 명령을 사용하여 정책을 배포하기 전에 구독에 Azure 정책 리소스를 사용할 수 있는지 확인합니다.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
정책 평가
Azure 정책은 다음 시간 또는 이벤트에서 범위 내의 자원을 평가합니다
정책 평가 응답
각 조직의 정책 정의와 행동은 각각 다르다.Azure 정책은 effect를 트리거로 사용하여 특정 정책의 부적합 상태에 응답합니다.효과는 정책이 정의한 정책 규칙에 설정됩니다.예를 들어, 배포를 특정 VM 유형 및 크기로 제한하거나 다른 Azure 영역의 사용을 차단할 수 있습니다.개발자가 Azure 환경에 액세스하고 구독할 수 있지만 항상 제어할 수 있습니다.다음은 정책 정의를 부적합하게 평가할 수 있는 리소스에 대해 수행할 수 있는 작업입니다.
Understand how effects work - Azure Policy
규정 위반 리소스 치료
정책 효과는 주로 리소스를 만들거나 업데이트하는 동안 리소스에 영향을 미치지만 Azure 정책은 리소스를 변경하지 않고도 기존의 규정 위반 리소스를 처리할 수 있습니다.
Azure 정책이 deployIfNotExists 정책 효과에서 실행될 때 managed identity 을 사용하여 배치합니다.Azure 정책은 필요할 때 각 할당에 대한 관리 ID를 생성합니다.Azure Portal을 사용하여 정책 할당을 배포하면 설치 프로그램이 자동으로 필요한 권한을 가진 관리형 ID를 만들어 줍니다.
Azure 정책의 관리형 ID
관리 정책의 건의
최대 Azure 정책 객체 수
구독이나 관리팀의 특정 범위 내에서 얼마나 많은 전략을 배치할 수 있는지에 제한이 있다.아래 표를 참조하십시오.
어디 있어요?
무슨
최대 개수
가입/관리 그룹
정책 정의
500
가입/관리 그룹
제안 정의
200
세입자
제안 정의
2500
가입/관리 그룹
정책 또는 제안 임무
200
정책 정의
매개 변수
20
제안 정의
정책
1000
제안 정의
매개 변수
100
정책 또는 제안 임무
제외(적용 불가능)
400
정책 규칙
조건문 중첩
512
구제책
과업
리소스
결론
Azure 환경에서 Azure 환경을 관리하고 제한하는 데 사용되는 Azure 정책에 대한 고급 개요를 제공할 수 있기를 바랍니다.
Reference
이 문제에 관하여(Azure 정책 - 고급 개요), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://dev.to/parveensingh/azure-policy-high-level-overview-3l14
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Azure 환경에서 Azure 환경을 관리하고 제한하는 데 사용되는 Azure 정책에 대한 고급 개요를 제공할 수 있기를 바랍니다.
Reference
이 문제에 관하여(Azure 정책 - 고급 개요), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/parveensingh/azure-policy-high-level-overview-3l14텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)