Azure에서 대량의 작업 부하를 구축하는 것은 흥미로운 일이지만 이러한 환경에 대한 관리와 통제는 종종 도전에 부딪힐 수 있다.자원에 대한 주동적인 모니터링을 소홀히 하면 구름 속의 환경을 관리할 수 없기 때문에 테스트 개발과 생산 단계에서 보통 몇 시간 동안 작업 부하를 간소화해야 한다.
Azure 정책은 조직 표준을 적용하고 대규모 규정 준수를 실시간으로 평가하는 데 도움이 됩니다.클릭 한 번으로 규정 준수 및 규정 준수 실패 리소스를 단일 대시보드 관리할 수 있습니다.예를 들어, 당신은 배치 구역을 정의할 수 있고, 허용된 구역 이외에 어떤 자원을 배치할 수 있는지 확보할 수 있습니다.

카탈로그

Overview

Policy Types

Policy Definitions

Initiative Definitions

Assignments

Permissions

Policy Evaluation

Policy Evaluation Response

Remediating Non-Compliant Resource

Recommendation for Managing Policies

Maximum Count of Azure Policy Objects

Conclusion

개술

Azure 정책은 Azure에 정의된 리소스의 속성을 JSON 형식에 정의된 비즈니스 규칙(정의)과 비교하여 리소스를 평가합니다.여러 개의 개별 전략을 배치할 수 있습니다. 그러나, 정책 제안은 많은 정의를 조합해서 관리를 간소화합니다.
정책 정의를 정의하면 관리 그룹, 구독, 자원 그룹, 단일 자원 등 다양한 역할 영역을 사용하는 자원에 적용됩니다.정책 정의는 범위 내의 모든 자원에 적용됩니다.

정책 유형

정책 정의

각 정책 정의는 JSON 객체입니다.정책의 핵심 구성 요소는 그 조건이다. 정책이 겨냥한 모든 자원의 효과와 실시 유형을 정의한다.내장 정책을 많이 사용해야 합니다.아래에서 내장 구성 요소 목록을 찾습니다.
[내장 정책 정의 목록 - Azure 정책https://docs.microsoft.com/en-us/azure/governance/policy/samples/built-in-policies
각 정책 정의에는 정책의 구조를 정의하는 요소가 있습니다.

모델 – 정책에 대해 평가할 리소스 유형을 결정합니다.지원되는 모드는 다음과 같습니다.

모두: 평가된 리소스 그룹 및 모든 리소스 유형

인덱스: 지원 태그와 위치의 자원 유형 평가

매개 변수 - 프로그래밍 언어에 익숙하면 매개 변수를 익힐 수 있습니다.이 매개 변수는 논리적 평가와 효과 평가에 사용할 수 있다.

예를 들어 다음은 자원 배치 구역을 제한하는 전략이다.

{
    "properties": {
        "displayName": "Allowed locations",
        "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
        "mode": "Indexed",
        "metadata": {
            "version": "1.0.0",
            "category": "Locations"
        },
        "parameters": {
            "allowedLocations": {
                "type": "array",
                "metadata": {
                    "description": "The list of locations that can be specified when deploying resources",
                    "strongType": "location",
                    "displayName": "Allowed locations"
                },
                "defaultValue": ["westus2"]
            }
        },
        "policyRule": {
            "if": {
                "not": {
                    "field": "location",
                    "in": "[parameters('allowedLocations')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

제안 정의

제안은 단일 목표를 위한 맞춤형 정책 정의 집합이다.이 계획은 여러 전략의 관리와 평가를 간소화시켰다.
Azure PowerShell 및 Azure CLI는 속성 및 매개변수 이름 정책 세트를 사용하여 계획을 참조합니다.
사용자 정의 정책 정의를 작성하여 계획으로 사용하려면 Microsoft Docs 웹 사이트의 절차를 따르십시오.
Tutorial: Build policies to enforce compliance - Azure Policy

숙제

분배란 특정 범위에 분배되는 정책 정의나 계획을 가리킨다.최상위 항목(예를 들어 관리 그룹과 구독)에 적용되면 하위 자원은 분배를 계승합니다.

Azure Policy is an explicit deny system. If a top-level policy on a management group or subscription is set to deny any action, you won't be able to allow it specifically using policy at a resource level(child level).

내장 정책을 사용하여 정책 할당을 만들 수 있습니다.할당 명령을 실행하기 전에 get-AzPolicyDefinition 명령을 사용하여 정책의 정책 Id를 가져오십시오. 다음과 같습니다.

#use PowerShell to get Policy
$Policy = Get-AzPolicyDefinition -Builtin | where {$_.Properties.DisplayName -like "PolicyName"}

#Output
Name : 0473574d-2d43-4217-aefe-941fcdf7e684
ResourceId : /providers/Microsoft.Authorization/policyDefinitions/0473574d-2d43-4217-aefe-941fcdf7e684
ResourceName : 0473574d-2d43-4217-aefe-941fcdf7e684
ResourceType : Microsoft.Authorization/policyDefinitions
SubscriptionId :
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/0473574d-2d43-4217-aefe-941fcdf7e684

$Policy 변수를 정책 인용으로 사용하고 명령New-AzPolicyAssignment을 실행하여 내장된 정의에 따라 정책을 만듭니다.범위는 형식/subscriptions/subscriptionId이어야 합니다.

$Assignment = New-AzPolicyAssignment -Name '<name>' -Scope '<scope>' -PolicyDefinitions $Policy

사용 권한

Azure 정책은

마이크로소프트.라이센스

마이크로소프트.PolicyInsight

Make sure you have "Owner" permission on subscription to create definitions or assignments. "Contributor" role user can only trigger the resource remediation.

다음 명령을 사용하여 정책을 배포하기 전에 구독에 Azure 정책 리소스를 사용할 수 있는지 확인합니다.

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

정책 평가

Azure 정책은 다음 시간 또는 이벤트에서 범위 내의 자원을 평가합니다

정책 할당

이 있는 역할 영역에서 자원 생성, 업데이트 또는 삭제

특정 범위에 새로 분배된 정책이나 계획

범위에 지정된 정책 또는 계획이 업데이트됨

표준 준수 평가 기간 동안 24시간마다 수행됩니다.

정책 평가 응답

각 조직의 정책 정의와 행동은 각각 다르다.Azure 정책은 effect를 트리거로 사용하여 특정 정책의 부적합 상태에 응답합니다.효과는 정책이 정의한 정책 규칙에 설정됩니다.예를 들어, 배포를 특정 VM 유형 및 크기로 제한하거나 다른 Azure 영역의 사용을 차단할 수 있습니다.개발자가 Azure 환경에 액세스하고 구독할 수 있지만 항상 제어할 수 있습니다.다음은 정책 정의를 부적합하게 평가할 수 있는 리소스에 대해 수행할 수 있는 작업입니다.

리소스 변경 거부

리소스에 대한 변경 내용 문서화

변경 전에 리소스 변경

변경 후 리소스 변경

관련 신고 자원 배치

정책 영향에 대한 자세한 내용은 여기에서 확인하십시오.
Understand how effects work - Azure Policy

규정 위반 리소스 치료

정책 효과는 주로 리소스를 만들거나 업데이트하는 동안 리소스에 영향을 미치지만 Azure 정책은 리소스를 변경하지 않고도 기존의 규정 위반 리소스를 처리할 수 있습니다.
Azure 정책이 deployIfNotExists 정책 효과에서 실행될 때 managed identity 을 사용하여 배치합니다.Azure 정책은 필요할 때 각 할당에 대한 관리 ID를 생성합니다.Azure Portal을 사용하여 정책 할당을 배포하면 설치 프로그램이 자동으로 필요한 권한을 가진 관리형 ID를 만들어 줍니다.
Azure 정책의 관리형 ID

관리 정책의 건의

거부 효과부터 시작하지 않고 추적 전략으로 환경 자원에 미치는 영향을 정의하는 것이 좋다.이를 통해 비즈니스 요구 사항에 따라 정책을 수집하고 결정할 수 있는 충분한 데이터를 확보할 수 있습니다.

정의를 만들고 분배할 때 조직 차원 구조를 고려한다.관리자 그룹이나 구독 수준과 같은 더 높은 단계에서 정의를 만드는 것을 권장합니다.다음 하위 단계에서 작업을 만듭니다.

각 작업에 대해 별도의 정책을 만들 수 있지만 계획 정의나 개별 정책 정의를 사용하는 것도 효과적입니다.

최대 Azure 정책 객체 수

구독이나 관리팀의 특정 범위 내에서 얼마나 많은 전략을 배치할 수 있는지에 제한이 있다.아래 표를 참조하십시오.
어디 있어요?
무슨
최대 개수
가입/관리 그룹
정책 정의
500
가입/관리 그룹
제안 정의
200
세입자
제안 정의
2500
가입/관리 그룹
정책 또는 제안 임무
200
정책 정의
매개 변수
20
제안 정의
정책
1000
제안 정의
매개 변수
100
정책 또는 제안 임무
제외(적용 불가능)
400
정책 규칙
조건문 중첩
512
구제책
과업
리소스

결론

Azure 환경에서 Azure 환경을 관리하고 제한하는 데 사용되는 Azure 정책에 대한 고급 개요를 제공할 수 있기를 바랍니다.