Azure ARM (22) Azure Policy入門

　　《Windows Azure Platform 系列文章目錄》

 

　　咱們知道，在Azure服務層級中，分爲如下幾個層次：

　　1.企業合同

　　2.訂閱

　　3.資源組

　　4.資源

　　咱們使用的Azure資源，其實都是部署在Azure資源組中的。

 

　　可是有個時候，咱們須要對Azure資源組設置規則或者策略，以符合公司對於雲平臺上資源的安全性和合規性要求。

　　舉個例子：　

　　1.咱們在建立Azure資源的時候，須要強制給資源組增長TAG (標籤)，

　　2.咱們在建立Azure虛擬機的時候，須要用戶同時設置虛擬機備份功能，不然不容許用戶建立虛擬機。

　　3.咱們在建立Azure虛擬機的時候，只能選擇某些機型(好比4Core, 8Core)，其餘類型的虛擬機，如GPU虛擬機等，都不容許用戶進行建立

　　

　　在這種場景中，咱們就能夠設置Azure Policy策略，來符合安全性和合規性。

 

　　Azure Policy和Azure RBAC (Role Based Access Control)有什麼區別？

　　Azure RBAC是限制了用戶的權限，好比什麼用戶，能夠針對資源組設置什麼權限。

　　好比咱們有1個帳戶，能夠針對資源組設置Owner，Contributor和Reader權限。

　　簡單的說，RBAC設置了什麼用戶，擁有的權限，好比增、刪、改、查等等

 

　　Azure Policy設置了Azure資源的合規性。在Azure Policy中，提供了不少默認的Policy，好比：

　　(1)只容許用戶在某些數據中心建立資源

　　(2)只容許建立SQL Server version 12的PaaS服務

　　(3)只容許用戶建立某些虛擬機類型

　　(4)必須在建立資源的時候，必須設置資源組增長TAG (標籤)

　　(5)不容許用戶建立其餘類型的資源

 

　　Azure Policy的生效範圍：

　　(1)Azure Policy能夠設置在整個訂閱級別。即訂閱下全部的資源組，都必須符合Policy的策略要求

　　(2)Azure Policy能夠設置在某一個資源組範圍。即只有這1個資源組，必須符合Policy的策略要求

　　(3)咱們還能夠設置Azure Policy的排除，即對某些資源不生效。

　　舉個例子，咱們在一個訂閱下，有生產資源組(Production-RG)和測試資源組(Test-RG)。

　　咱們在設置虛擬機備份的Policy，對於生產資源組(Production-RG)是生效的，可是對於測試資源組(Test-RG)不生效

　　

　　自定義Policy

　　雖然Azure默認提供了默認的Policy，咱們還能夠建立自定義Policy，以符合公司的安全性和合規性的要求