• 3 分钟

如何确保资源保持合规？ 如果资源配置发生更改，你是否会收到警报？

Azure Policy 是 Azure 中的一项服务，可用于创建、分配和管理用于控制或审核资源的策略。 这些策略跨资源配置强制实施不同的规则，以便这些配置符合企业标准。

Azure Policy 如何定义策略？

通过 Azure Policy，你可以定义单独的策略和相关策略组（称为“计划”）。 Azure Policy 将评估资源并突出显示不符合你创建的策略的资源。 Azure Policy 还可阻止创建不合规的资源。

可以在每个级别设置 Azure 策略，这使你能够针对特定的资源、资源组、订阅等设置策略。 此外，Azure 策略是继承性的，所以如果在较高级别设置策略，它将自动应用到父级中的所有组。 例如，如果在资源组上设置了 Azure Policy，则在该资源组内创建的所有资源都将自动接收相同的策略。

Azure Policy 附带了适用于存储、网络、计算、安全中心和监视的内置策略和计划定义。 例如，如果定义的策略仅允许在环境中使用虚拟机 (VM) 的特定大小，则在创建新 VM 和调整现有 VM 大小时会调用该策略。 Azure Policy 还会评估和监视环境中所有当前的 VM，包括创建策略之前创建的 VM。

在某些情况下，Azure Policy 可以自动修正不合规的资源和配置，以确保资源状态的完整性。 例如，如果某个资源组中的所有资源都应使用 AppName 标记和值“SpecialOrders”进行标记，则 Azure Policy 将自动应用该标记（如果它丢失）。 但是，你仍然可以完全控制环境。 如果你有不希望 Azure Policy 自动修复的特定资源，则可以将该资源标记为异常，这样该策略就不会自动修复该资源。

Azure Policy 还可通过应用在应用程序部署前或部署后阶段应用的任何持续集成和交付管道策略，与 Azure DevOps 进行集成。

什么是 Azure Policy 计划？

Azure Policy 计划是一种将相关策略组合在一起的方法。 计划定义包含所有策略定义，可帮助你跟踪更大目标的符合性状态。

例如，Azure Policy 包括一个名为“在 Azure 安全中心内启用监视”的计划。 其目标是在 Azure 安全中心监视所有 Azure 资源类型的所有可用安全建议。

在此计划下，将包含以下策略定义：

• 监视安全中心内未加密的 SQL 数据库：此策略可监视未加密的 SQL 数据库和服务器。
• 监视安全中心的 OS 漏洞：此策略可监视不满足已配置的 OS 漏洞基线的服务器。
• 监视安全中心 Endpoint Protection 的缺失情况：此策略可监视未安装 Endpoint Protection 代理的服务器。

事实上，在 Azure 安全中心启用监视计划包含 100 多个单独的策略定义。