随着数据隐私和安全日益受到重视,组织必须遵守各种外部法规和内部政策。例如,欧盟的GDPR法规对数据保护提出了严格要求,而不同行业如金融和制造业也有其特定的合规要求。此外,为了获得ISO等认证,组织还需遵守一系列标准。除了这些外部规定,组织还会制定自己的内部政策。"Azure Policy" 是一项服务,它帮助组织遵守和管理政策和程序,以满足这些监管要求。
Azure Policy简化了公司遵守政策和法规的过程,无论是外部强加的还是内部生成的。Azure Policy可以帮助设计、创建、分配和管理政策。此外,它还会对资源进行评估,并扫描违反政策的行为。
创建政策定义是需要做的第一件事。每个政策定义都包括执行条件。如果满足条件,则会产生效果。可以创建自己的政策,但Azure Policy已经内置了一些政策,包括:
这些政策可以使用PowerShell、Azure CLI或Azure门户来实施。
一旦定义了政策,就需要将其分配到特定范围内才能实施。范围是指政策定义被分配到的所有订阅、管理组或资源组。此外,政策分配会继承给所有子资源;例如,如果政策分配给资源组,则应用于资源组中的所有资源。
在创建政策定义时可以定义参数,以使定义更加通用。通过在分配政策定义时传入不同的值,相对通用的定义可以在许多不同的场景中使用。每次定义参数时,都会给它一个名称和一个值。当政策被分配到不同区域时,值可以更改。
一组共同实现一个总体目标的政策定义被称为策略倡议定义。通过将一组政策组合在一起,简化了管理和分配政策定义的过程。像政策定义一样,策略倡议定义也被分配到特定范围,并且也可以定义参数。
当开始创建政策定义时,最好从审计效果开始,而不是拒绝效果。这将使能够跟踪政策定义对环境的影响。使用拒绝效果可能会对已经设置的任何自动化任务产生负面影响。
请记住在较高级别创建定义;例如,在管理组或订阅级别。然后,可以在子级别进行分配。