Guia de início rápido: criar uma atribuição de política para identificar recursos não compatíveis usando um arquivo Bicep

Artigo
07/10/2024

Neste início rápido, você usa um arquivo Bicep para criar uma atribuição de política que valida a conformidade do recurso com uma política do Azure. A política é atribuída a um grupo de recursos e audita máquinas virtuais que não usam discos gerenciados. Depois de criar a atribuição de política, você identifica máquinas virtuais não compatíveis.

O Bicep é uma linguagem específica do domínio que utiliza sintaxe declarativa para implementar recursos do Azure. Fornece sintaxe concisa, segurança de tipos fiável e suporte para reutilização de código. O Bicep oferece a melhor experiência de criação para suas soluções de infraestrutura como código no Azure.

Ao atribuir uma definição interna de política ou iniciativa, é opcional fazer referência a uma versão. As atribuições de política de definições internas usam como padrão a versão mais recente e herdam automaticamente alterações de versão secundárias, a menos que especificado de outra forma.

Pré-requisitos

Se não tiver uma conta do Azure, crie uma conta gratuita antes de começar.
Bicep.
Azure PowerShell ou CLI do Azure.
Visual Studio Code e a extensão Bicep para Visual Studio Code.
Microsoft.PolicyInsights deve estar registrado em sua assinatura do Azure. Para registrar um provedor de recursos, você deve ter permissão para registrar provedores de recursos. Essa permissão está incluída nas funções de Colaborador e Proprietário.
Um grupo de recursos com pelo menos uma máquina virtual que não usa discos gerenciados.

Revise o arquivo Bicep

O arquivo Bicep cria uma atribuição de política para um escopo de grupo de recursos e atribui a definição de política interna Auditar VMs que não usam discos gerenciados.

Crie o seguinte arquivo Bicep como policy-assignment.bicep.

Abra o Visual Studio Code e selecione File>New Text File.
Copie e cole o arquivo Bicep no Visual Studio Code.
Selecione Arquivo>Salvar e use o nome do arquivo policy-assignment.bicep.

param policyAssignmentName string = 'audit-vm-managed-disks'
param policyDefinitionID string = '/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d'
param policyDisplayName string = 'Audit VM managed disks'

resource assignment 'Microsoft.Authorization/policyAssignments@2023-04-01' = {
  name: policyAssignmentName
  scope: resourceGroup()
  properties: {
    policyDefinitionId: policyDefinitionID
    description: 'Policy assignment to resource group scope created with Bicep file'
    displayName: policyDisplayName
    nonComplianceMessages: [
      {
        message: 'Virtual machines should use managed disks'
      }
    ]
  }
}

output assignmentId string = assignment.id

O tipo de recurso definido no arquivo Bicep é Microsoft.Authorization/policyAssignments.

O arquivo Bicep usa três parâmetros para implantar a atribuição de política:

policyAssignmentName Cria a atribuição de política chamada audit-vm-managed-disks.
policyDefinitionID usa a ID da definição de política interna. Para referência, os comandos para obter a ID estão na seção para implantar o modelo.
policyDisplayName cria um nome para exibição visível no portal do Azure.

Para obter mais informações sobre arquivos Bicep:

Para encontrar mais exemplos de Bicep, vá para Procurar exemplos de código.
Para saber mais sobre referências de modelo para implantações, vá para Referência de modelo do Azure.
Para saber como desenvolver arquivos Bicep, vá para a documentação do Bicep.
Para saber mais sobre implantações no nível de assinatura, vá para Implantações de assinatura com arquivos Bicep.

Implantar o arquivo Bicep

Você pode implantar o arquivo Bicep com o Azure PowerShell ou a CLI do Azure.

Em uma sessão de terminal do Visual Studio Code, conecte-se ao Azure. Se você tiver mais de uma assinatura, execute os comandos para definir o contexto da sua assinatura. Substitua <subscriptionID> pelo seu ID da subscrição do Azure.

PowerShell
CLI do Azure

Connect-AzAccount

# Run these commands if you have multiple subscriptions
Get-AzSubScription
Set-AzContext -Subscription <subscriptionID>

az login

# Run these commands if you have multiple subscriptions
az account list --output table
az account set --subscription <subscriptionID>

Você pode verificar se Microsoft.PolicyInsights está registrado. Se não estiver, você pode executar um comando para registrar o provedor de recursos.

PowerShell
CLI do Azure

Get-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights' |
   Select-Object -Property ResourceTypes, RegistrationState

Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

Para obter mais informações, vá para Get-AzResourceProvider e Register-AzResourceProvider.

az provider show \
  --namespace Microsoft.PolicyInsights \
  --query "{Provider:namespace,State:registrationState}" \
  --output table

az provider register --namespace Microsoft.PolicyInsights

Os comandos da CLI do Azure usam uma barra invertida (\) para a continuação da linha para melhorar a legibilidade. Para obter mais informações, vá para az provider.

Os comandos a seguir exibem o valor do policyDefinitionID parâmetro:

PowerShell
CLI do Azure

(Get-AzPolicyDefinition |
  Where-Object { $_.Properties.DisplayName -eq 'Audit VMs that do not use managed disks' }).ResourceId

az policy definition list \
  --query "[?displayName=='Audit VMs that do not use managed disks']".id \
  --output tsv

Os comandos a seguir implantam a definição de política no seu grupo de recursos. Substitua <resourceGroupName> pelo nome do grupo de recursos:

PowerShell
CLI do Azure

$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

$deployparms = @{
Name = 'PolicyDeployment'
ResourceGroupName = $rg.ResourceGroupName
TemplateFile = 'policy-assignment.bicep'
}

New-AzResourceGroupDeployment @deployparms

A $rg variável armazena propriedades para o grupo de recursos. A $deployparms variável usa splatting para criar valores de parâmetros e melhorar a legibilidade. O New-AzResourceGroupDeployment comando usa os valores de parâmetro definidos na $deployparms variável.

Name é o nome da implantação exibido na saída e no Azure para as implantações do grupo de recursos.
ResourceGroupName usa a $rg.ResourceGroupName propriedade para obter o nome do seu grupo de recursos onde a política é atribuída.
TemplateFile especifica o nome e a localização do ficheiro Bicep no computador local.

rgname=$(az group show --resource-group <resourceGroupName> --query name --output tsv)

az deployment group create \
  --name PolicyDeployment \
  --resource-group $rgname \
  --template-file policy-assignment.bicep

A rgname variável usa uma expressão para obter o nome do grupo de recursos usado no comando deployment.

name é o nome da implantação exibido na saída e no Azure para as implantações do grupo de recursos.
resource-group é o nome do grupo de recursos ao qual a política é atribuída.
template-file especifica o nome e a localização do ficheiro Bicep no computador local.

Você pode verificar a implantação da atribuição de política com o seguinte comando:

PowerShell
CLI do Azure

O comando usa a $rg.ResourceId propriedade para obter a ID do grupo de recursos.

Get-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Name               : audit-vm-managed-disks
ResourceId         : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
ResourceName       : audit-vm-managed-disks
ResourceGroupName  : {resourceGroupName}
ResourceType       : Microsoft.Authorization/policyAssignments
SubscriptionId     : {subscriptionId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks
Properties         : Microsoft.Azure.Commands.ResourceManager.Cmdlets.Implementation.Policy.PsPolicyAssignmentProperties

Para obter mais informações, vá para Get-AzPolicyAssignment.

A rgid variável usa uma expressão para obter a ID do grupo de recursos usada para mostrar a atribuição de política.

rgid=$(az group show --resource-group $rgname --query id --output tsv)

az policy assignment show --name "audit-vm-managed-disks" --scope $rgid

A saída é detalhada, mas semelhante ao seguinte exemplo:

"description": "Policy assignment to resource group scope created with Bicep file",
"displayName": "Audit VM managed disks",
"enforcementMode": "Default",
"id": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/audit-vm-managed-disks",
"identity": null,
"location": null,
"metadata": {
  "createdBy": "11111111-1111-1111-1111-111111111111",
  "createdOn": "2024-02-20T20:57:09.574944Z",
  "updatedBy": null,
  "updatedOn": null
},
"name": "audit-vm-managed-disks",
"nonComplianceMessages": [
  {
    "message": "Virtual machines should use managed disks",
    "policyDefinitionReferenceId": null
  }
]

Para obter mais informações, vá para az policy assignment.

Identificar recursos que não estão em conformidade

Depois que a atribuição de política é implantada, as máquinas virtuais implantadas no grupo de recursos são auditadas quanto à conformidade com a política de disco gerenciado.

O estado de conformidade de uma nova atribuição de política leva alguns minutos para se tornar ativo e fornecer resultados sobre o estado da política.

PowerShell
CLI do Azure

$complianceparms = @{
ResourceGroupName = $rg.ResourceGroupName
PolicyAssignmentName = 'audit-vm-managed-disks'
Filter = 'IsCompliant eq false'
}

Get-AzPolicyState @complianceparms

A $complianceparms variável cria valores de Get-AzPolicyState parâmetro usados no comando.

ResourceGroupName Obtém o nome do grupo de recursos da $rg.ResourceGroupName propriedade.
PolicyAssignmentName Especifica o nome usado quando a atribuição de política foi criada.
Filter Usa uma expressão para localizar recursos que não estão em conformidade com a atribuição de política.

Seus resultados se assemelham ao exemplo a seguir e ComplianceState mostram NonCompliant:

Timestamp                : 2/20/2024 18:55:45
ResourceId               : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.compute/virtualmachines/{vmId}
PolicyAssignmentId       : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}/providers/microsoft.authorization/policyassignments/audit-vm-managed-disks
PolicyDefinitionId       : /providers/microsoft.authorization/policydefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant              : False
SubscriptionId           : {subscriptionId}
ResourceType             : Microsoft.Compute/virtualMachines
ResourceLocation         : {location}
ResourceGroup            : {resourceGroupName}
ResourceTags             : tbd
PolicyAssignmentName     : audit-vm-managed-disks
PolicyAssignmentOwner    : tbd
PolicyAssignmentScope    : /subscriptions/{subscriptionId}/resourcegroups/{resourceGroupName}
PolicyDefinitionName     : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction   : audit
PolicyDefinitionCategory : tbd
ManagementGroupIds       : {managementGroupId}
ComplianceState          : NonCompliant
AdditionalProperties     : {[complianceReasonCode, ]}

Para obter mais informações, vá para Get-AzPolicyState.

policyid=$(az policy assignment show \
  --name "audit-vm-managed-disks" \
  --scope $rgid \
  --query id \
  --output tsv)

az policy state list --resource $policyid --filter "(isCompliant eq false)"

A policyid variável usa uma expressão para obter a ID da atribuição de política. O filter parâmetro limita a saída a recursos não compatíveis.

A az policy state list saída é detalhada, mas para este artigo os complianceState shows NonCompliant.

"complianceState": "NonCompliant",
"components": null,
"effectiveParameters": "",
"isCompliant": false,

Para obter mais informações, vá para az policy state.

Remove-AzPolicyAssignment -Name 'audit-vm-managed-disks' -Scope $rg.ResourceId

Para sair da sessão do Azure PowerShell:

Disconnect-AzAccount

az policy assignment delete --name "audit-vm-managed-disks" --scope $rgid

Para sair da sessão da CLI do Azure:

az logout

Próximos passos

Neste guia de introdução, atribuiu uma definição de política para identificar recursos incompatíveis no seu ambiente do Azure.

Para saber mais sobre como atribuir políticas que validam a conformidade de recursos, continue para o tutorial.

Tutorial: Criar e gerir políticas para impor a conformidade

Partilhar via