Azure ARM (22) Azure Policy入门

　　《Windows Azure Platform 系列文章目录》

 

　　咱们知道，在Azure服务层级中，分为如下几个层次：

　　1.企业合同

　　2.订阅

　　3.资源组

　　4.资源

　　咱们使用的Azure资源，其实都是部署在Azure资源组中的。

 

　　可是有个时候，咱们须要对Azure资源组设置规则或者策略，以符合公司对于云平台上资源的安全性和合规性要求。

　　举个例子：　

　　1.咱们在建立Azure资源的时候，须要强制给资源组增长TAG (标签)，

　　2.咱们在建立Azure虚拟机的时候，须要用户同时设置虚拟机备份功能，不然不容许用户建立虚拟机。

　　3.咱们在建立Azure虚拟机的时候，只能选择某些机型(好比4Core, 8Core)，其余类型的虚拟机，如GPU虚拟机等，都不容许用户进行建立

　　

　　在这种场景中，咱们就能够设置Azure Policy策略，来符合安全性和合规性。

 

　　Azure Policy和Azure RBAC (Role Based Access Control)有什么区别？

　　Azure RBAC是限制了用户的权限，好比什么用户，能够针对资源组设置什么权限。

　　好比咱们有1个帐户，能够针对资源组设置Owner，Contributor和Reader权限。

　　简单的说，RBAC设置了什么用户，拥有的权限，好比增、删、改、查等等

 

　　Azure Policy设置了Azure资源的合规性。在Azure Policy中，提供了不少默认的Policy，好比：

　　(1)只容许用户在某些数据中心建立资源

　　(2)只容许建立SQL Server version 12的PaaS服务

　　(3)只容许用户建立某些虚拟机类型

　　(4)必须在建立资源的时候，必须设置资源组增长TAG (标签)

　　(5)不容许用户建立其余类型的资源

 

　　Azure Policy的生效范围：

　　(1)Azure Policy能够设置在整个订阅级别。即订阅下全部的资源组，都必须符合Policy的策略要求

　　(2)Azure Policy能够设置在某一个资源组范围。即只有这1个资源组，必须符合Policy的策略要求

　　(3)咱们还能够设置Azure Policy的排除，即对某些资源不生效。

　　举个例子，咱们在一个订阅下，有生产资源组(Production-RG)和测试资源组(Test-RG)。

　　咱们在设置虚拟机备份的Policy，对于生产资源组(Production-RG)是生效的，可是对于测试资源组(Test-RG)不生效

　　

　　自定义Policy

　　虽然Azure默认提供了默认的Policy，咱们还能够建立自定义Policy，以符合公司的安全性和合规性的要求