Inicio rápido: creación de una asignación de directiva para identificar recursos no compatibles mediante Azure Portal

  • Artículo

El primer paso para entender el cumplimiento en Azure es identificar el estado de sus recursos. En este inicio rápido, creará una asignación de directiva para identificar recursos no compatibles mediante Azure Portal. La directiva se asigna a un grupo de recursos y audita las máquinas virtuales que no utilizan discos administrados. Después de crear la asignación de directiva, identifique las máquinas virtuales no compatibles.

Al asignar una definición de iniciativa o directiva integrada, es opcional hacer referencia a una versión. Las asignaciones de directivas de definiciones integradas de forma predeterminada a la versión más reciente y heredan automáticamente los cambios de versión secundaria a menos que se especifique lo contrario.

Requisitos previos

  • Antes de comenzar, si no tiene una cuenta de Azure, cree una gratuita.
  • Un grupo de recursos con al menos una máquina virtual que no usa discos administrados.

Creación de una asignación de directiva

En este inicio rápido, creará una asignación de directiva con una definición de directiva integrada, Auditoría de máquinas virtuales que no usan discos administrados.

  1. Inicie sesión en Azure Portal.

  2. Busque la directiva y selecciónela en la lista.

    Recorte de pantalla de Azure Portal para buscar la directiva.

  3. Seleccione Asignaciones en el panel Directiva.

    Recorte de pantalla del panel Asignaciones en el que se resalta la opción Asignar directiva.

  4. Seleccione Asignar directiva en el panel Asignaciones de directivas.

  5. En el panel Asignar directiva, en la pestaña Aspectos básicos, configure las siguientes opciones:

    Campo Action
    Ámbito Use los puntos suspensivos (...) y, a continuación, seleccione una suscripción y un grupo de recursos. A continuación, elija Seleccionar para aplicar el ámbito.
    Exclusiones Opcional y no se usa en este ejemplo.
    Selectores de recursos Omita los selectores de recursos para este ejemplo. Los selectores de recursos permiten refinar los recursos afectados por la asignación de directiva.
    Definición de directiva Seleccione los puntos suspensivos (...) para abrir la lista de definiciones disponibles.
    Definiciones disponibles Busque en la lista Definiciones de directiva la definición Auditoría de máquinas virtuales que no usan discos administrados, seleccione la directiva y seleccione Agregar. Hay una columna en la que se muestra la versión más reciente de la definición.
    Versión (versión preliminar) Acepte la versión en formato 1.*.* para ingerir versiones principales, secundarias y de revisión.

    Seleccione los puntos suspensivos (...) para ver las versiones disponibles y las opciones para inscribirse en actualizaciones de versiones secundarias o versiones preliminares. Debe seleccionar una versión para cambiar las opciones. Para más información, vaya a Versión de definición dentro de la asignación.
    Nombre de asignación De manera predeterminada, usa el nombre de la directiva seleccionada. Puede cambiarlo, pero para este ejemplo, use el nombre predeterminado.
    Descripción Opcional para proporcionar detalles sobre esta asignación de directiva.
    Cumplimiento de directivas El valor predeterminado es Habilitado. Para obtener más información, vaya a modo de cumplimiento.

    Recorte de pantalla de la asignación de directivas y definiciones disponibles en el que se resalta la versión de la directiva.

  6. Una vez que se selecciona una definición de directiva, puede cambiar las opciones de Versión (versión preliminar).

    Por ejemplo, si selecciona las opciones que se muestran en la imagen, Versión (versión preliminar) se cambia a 1.0.*.

    Recorte de pantalla de las opciones de versión de definición de directiva para inscribirse en versiones secundarias o preliminares.

  7. Seleccione Siguiente a fin de ver cada pestaña para Parámetros y Corrección. No se necesitan cambios para este ejemplo.

    Nombre de pestaña Opciones
    Parámetros Si la definición de directiva que ha seleccionado en la pestaña Aspectos básicos tiene parámetros, se configuran en la pestaña Parámetros. En este ejemplo no se usan parámetros.
    Corrección Puede crear una entidad administrada. En este ejemplo, la opción Crear una identidad administrada está desactivada.

    Esta casilla se debe activar cuando una directiva o iniciativa incluyen una directiva con el efecto deployIfNotExists o modify. Para obtener más información, vaya a identidades administradas y cómo funciona el control de acceso de corrección.

  8. Seleccione Siguiente y, en la pestaña Mensajes de no cumplimiento, cree un Mensaje de no cumplimiento, como Las máquinas virtuales deben usar discos administrados.

    Este mensaje personalizado se muestra cuando se deniega un recurso o cuando hay recursos no compatibles durante la evaluación periódica.

  9. Seleccione Siguiente y, en la pestaña Revisar y crear, revise los detalles de la asignación de directivas.

  10. Seleccione Crear para crear la asignación de directiva.

Identificación de recursos sin compatibilidad

En el panel Directiva, seleccione Cumplimiento y busque la asignación de directivas Auditoría de máquinas virtuales que no usan discos administrados. El estado de cumplimiento de una nueva asignación de directiva tarda unos minutos en activarse y proporcionar resultados sobre el estado de la directiva.

Recorte de pantalla del cumplimiento de directivas en el que se resalta la asignación de directivas no compatibles del ejemplo.

La asignación de directivas muestra los recursos que no son compatibles con un Estado de cumplimiento de No compatible. Para obtener más detalles, seleccione el nombre de la asignación de directivas para ver el Cumplimiento de recursos.

Si una condición se evalúa en todos los recursos existentes y el valor obtenido es true, estos recursos se marcarán como no compatibles con la directiva. En la tabla siguiente se muestra cómo funcionan los distintos efectos de directiva con la evaluación de condición para el estado de cumplimiento resultante. Aunque no se ve la lógica de evaluación en Azure Portal, se muestran los resultados del estado de cumplimiento. El resultado del estado de cumplimiento puede ser compatible o no compatible.

Estado del recurso Efecto Evaluación de directiva Estado de cumplimiento
Nueva o actualizada Audit, Modify, AuditIfNotExist True No compatible
Nueva o actualizada Audit, Modify, AuditIfNotExist False Compatible
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist True No compatible
Exists Deny, Audit, Append, Modify, DeployIfNotExist, AuditIfNotExist False Compatible

Los efectos DeployIfNotExist y AuditIfNotExist requieren que la instrucción IF sea TRUE y la condición de existencia sea FALSE para ser no compatibles. Si es TRUE, la condición IF desencadena la evaluación de la condición de existencia de los recursos relacionados.

Limpieza de recursos

Puede eliminar una asignación de directivas de Cumplimiento o de Asignaciones.

Para quitar la asignación de directivas creada en este artículo, siga estos pasos:

  1. En el panel Directiva, seleccione Cumplimiento y busque la asignación de directivas Auditoría de máquinas virtuales que no usan discos administrados.

  2. Seleccione los puntos suspensivos de la asignación de directivas y seleccione Eliminar asignación.

    Recorte de pantalla del panel Cumplimiento en el que se resalta el menú para eliminar una asignación de directiva.

Pasos siguientes

En este inicio rápido, se asigna una definición de directiva para identificar los recursos incompatibles en el entorno de Azure.

Para obtener más información sobre cómo asignar directivas que validen el cumplimiento de los recursos, continúe con el tutorial.

Tutorial: Creación y administración de directivas para aplicar el cumplimiento