Como implantar Políticas de Governança com o Azure Policy

O que é o Azure Policy?

O Azure Policy é um recurso dentro da suíte de governança que ajuda a impor padrões organizacionais e avaliar a conformidade em escala. Pelo painel de conformidade, é possível avaliar o estado geral do ambiente, com a capacidade de drill down para a granularidade por política. Ele também ajuda na correção em massa de recursos existentes e correção automática para novos recursos.

É comum usar o Azure Policy ao implementar a governança para consistência de recursos, conformidade regulatória, segurança, custo e gerenciamento. As definições de política para estes casos já estão disponíveis em seu ambiente do Azure como itens internos. Você já pode começar a usar!

Implementação de Políticas

As políticas a seguir podem ser aplicadas a um grupo de gerenciamento inteiro, a uma assinatura ou a um único grupo de recursos.

Limitar os tamanhos de VM do Azure: Com a política Allowed virtual machine size SKUs, você pode controlar quais séries e tamanhos de VM do Azure são permitidos para implantação.

Limitar a região de criação de recursos: A política Allowed locations permite que os recursos do Azure sejam criados apenas em regiões pré-definidas.

Atribuir tag para todos os recursos: A política Append a tag and its value to resource força a utilização de tags para todos os recursos criados no grupo de recurso especificado.

Passo a passo

Politica virtual machine size SKUs

01 – Faça login no portal do Azure.

02 – No portal do Azure, pesquise por Policy.

03 – Na tela Policy, navegue até Authoring e clique em Assignments.

04 – Na tela Assignments, clique em Assign policy.

05 – Na tela Assign policy, selecione o scope ao qual a política será atribuída. O escopo pode ser a assinatura ou um resource group. Na opção Exclusions é possível selecionar quais grupos serão excluídos da política. Para a opção Basics selecione Policy definition. Nesta opção, selecione qual política deseja utilizar. Em Search, pesquise por SKU e selecione a política Allowed virtual machine size SKUs. Para a opção Assignment name, altere para um nome mais amigável. Para a opção Policy enforcement, deixe selecionado Enabled e em seguida clique em Next. 

06 – Na tela Parameters, para a opção Allowed Size SKUs, selecione o SKU que deseja permitir. Neste exemplo vou permitir a criação apenas de SKU Standard_D1_V2. Em seguida, clique em Next.

07 – Na tela Remediation, não realize nenhuma alteração e clique em Next.

08 – Na opção Non-compliance messages não vou realizar nenhuma alteração. Clique em Next. 

09 – Na tela Review + create, verifique se as informações selecionadas estão corretas e clique em Create. 

10 – Como é possível observar na imagem abaixo, a política foi criada.

11 – Clique em Compliance. Observe que a política recém criada está com o Compliace state como Not started. A política demora até uma hora para ser iniciada.

12 – Em Compliance, selecione a política Permite virtual machine size SKUs Standard_D1_V2. Observe que é possível ver algumas informações sobre esta política como status dos recursos que estão em compliance, eventos, etc.

13 – Observe que a política Permite virtual machine size SKUs Standard_D1_V2 está com o status de Compliance. O próximo passo é testá-la.

14 – Teste a politica Permite virtual machine size SKUs Standard_D1_V2.

O vídeo abaixo simula a criação de um máquina virtual com o SKU Standard_D2_V2 que não foi definido na política. Em seguida, simula a criação da máquina virtual com o SKU Standar_D1_V2 permitido na política.

15 – Na tela do Azure Poly, clique em Compliance e selecione a política Permite virtual machine size SKUs Standard_D1_V2.

16 – Após selecionar a política, observe que existe a opção de Events, com um histórico de todos os eventos iniciados por determinado usuário.

17 – Neste exemplo, vou selecionar os eventos do meu usuário jadson.alvesti. Assim, é possível analisar todos os eventos deste usuário.

Politica Allowed locations

Esta política permite restringir os locais especificados pela sua organização ao implantar recursos.

18 – No portal do Azure, pesquise por Policy.

19 – Na tela Policy, navegue até Authoring e clique em Assignments.

20 – Na tela Assignments, clique em Assign policy.

21 – Na tela Assign policy, selecione o scope ao qual a política será atribuída. O escopo pode ser a assinatura ou um resource group. Neste exemplo, vou aplicar a política ao grupo de recursos RG-Policy, ou seja, os recursos criados nesse grupo de recurso deverão estar na região East US. Na opção Exclusions, é possível selecionar os grupos excluídos da política. Na opção Basics, selecione a Policy definition. Nesta opção, selecione qual política deseja utilizar. Em Search, pesquise por locations e selecione a política Allowed locations. Na opção Assignment name, altere para um nome mais amigável. Nara a opção Policy enforcement, deixe selecionado Enabled e clique em Next. 

22 – Na tela Parameters, na opção Allowed locations, selecione a localização permitida para criação de recursos. Neste exemplo, vou permitir a região East US. Em seguida, clique em Next.

23 – Na tela Remediation não vou realizar nenhuma alteração. Clique em Next.

24 – Na opção Non-compliance messages não vou realizar nenhuma alteração. Clique em Next. 

25 – Na tela Review + create, verifique se as informações selecionadas estão corretas e clique em Create. 

26 – É possível observar na imagem abaixo que a política foi criada.

27 – Clique em Compliance. Observe que a política está com o Compliace state como Not started. A política demora até uma hora para ser iniciada.

28 – Em Compliance, selecione a política Permite criar recursos na região East US. Observe que é possível ver algumas informações sobre a política como status, os recursos que estão em compliance, eventos, etc.

29 – Observe na imagem abaixo que a política Permite criar recursos na região East US está com o status de Compliance. O próximo passo é testá-la.

30 – Vou testar a política Permite criar recursos na região East US.

O vídeo abaixo simula a criação de uma máquina virtual na região do Brazil South (South America) que não foi definida na política. Em seguida, simula a criação da máquina virtual na região East US que foi permitida na política.

31 – Na tela do Azure Poly, clique em Compliance e selecione a política Permite virtual machine size SKUs Standard_D1_V2. Após selecionar a política, observe que existe a opção de Events, com um histórico de todos os eventos iniciados por determinado usuário.

32 – Vou selecionar os eventos do meu usuário jadson.alvesti. Assim, é possível analisar todos os eventos do usuário.

Politica Append a tag and its value to resources

Esta política permite restringir os locais que sua organização pode especificar ao implantar recursos. Ela anexa tag e valor especificados quando qualquer grupo de recursos sem essa tag é criado ou atualizado. Ela não modifica as marcações de grupos de recursos criados antes da aplicação desta política. .

33 – No portal do Azure, pesquise por Policy.

34 – Na tela Policy, navegue até Authoring e clique em Assignments.

35 – Na tela Assignments, clique em Assign policy.

36 – Na tela Assign policy, selecione o scope ao qual política será atribuída. O escopo pode ser a assinatura ou um resource group. Neste exemplo, vou aplicar a política ao grupo de recursos RG-Policy, ou seja, apenas os recursos criados nesse grupo terão a tag atribuída . Na opção Exclusions, é possível selecionar os resource grups que serão excluídos da política. Na opção Basics, selecione a Policy definition. Nesta opção, selecione qual política deseja utilizar. Em Search, pesquise por Append a tag and its value to resources e selecione a política Append a tag and its value to resources. Na opção Assignment name, altere para um nome mais amigável. Na opção Policy enforcement, deixe selecionado Enabled e clique em Next.

37 – Na tela Parameters, preencha as opções Tag Name e Tag Value. Neste exemplo, vou utilizar a tag name ambiente e tag value dev. Não vou realizar nenhuma alteração nas opções Remediation e Non-compliance messages. Clique em Review + Create.

38 – Na tela Review + create, revise se todas as informações e clique em Create.

39 – Observe na imagem abaixo que a política foi criada.

40 – Aguarde a política ser iniciada, isso pode demorar até uma hora.

41 – Observe que a política foi iniciada.

42 – Teste a política Adicionar tag a todos os recursos criados em RG-Policy.

O vídeo abaixo simula a criação de um network security group no grupo de recursos RG-Policy. A tag será atribuída ao recurso automaticamente após ele ser provisionado.

Comente, faça suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

 

Share

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati. 

    %d blogueiros gostam disto: