【Azure】发掘 Azure 用于治理和合规性工具：探索 Azure 蓝图、策略、资源锁和信任门户

文章目录

前言
一、Azure 蓝图

1.1 什么是 Azure 蓝图？
1.2 Azure 蓝图的用途
1.3 Azure 蓝图的总结（重点）
1.4 Azure 蓝图与 Azure 资源管理模板区别
1.5 Azure 蓝图与 Azure 策略（Policy）区别
二、Azure Policy（策略）

2.1 Azure 策略总结（重要）
2.2 Azure 策略与 RBAC
2.3 创建 Azure 策略步骤
三、Azure 资源锁
四、Azure 服务信任门户

文末送书

前言

在当今数字化的云计算时代，Azure云平台作为全球领先的云服务提供商，为组织和企业提供了强大的资源管理和安全性功能。本文主要针对 Azure 初学者，或者备考AZ-900的同学，带领大家探讨几个关键的 Azure 服务，帮助读者全面了解 Azure 蓝图、Azure 策略和 Azure 资源锁以及 Azure 服务信任门户的功能和用途。

一、Azure 蓝图

1.1 什么是 Azure 蓝图？

Azure蓝图是Azure平台中用于快速部署和管理资源的一种服务。它是一种基础设施即代码（Infrastructure as Code）的概念，用于定义和自动化Azure资源的部署和配置。

具体来说，Azure蓝图是一个模板或定义，其中包含一个或多个Azure资源的配置和设置。通过创建蓝图，您可以将一组资源和策略打包在一起，以便在多个Azure订阅或目录中重复使用。这样可以确保在不同环境中使用相同的标准配置，减少错误和避免重复的手动配置过程。

蓝图是 JSON 文件，是一种声明性方法，用于协调各个资源模板和其他项目的部署。由下列项目组成：

角色分配
策略分配
Azure 资源管理器模板

资源组

这些项目被嵌入到包中，然后可以进行组合、版本控制并分配到包含多个订阅的管理组，也可直接分配到单个订阅。

分配后，包将根据管理组或所选的订阅开始部署角色、策略、模板或资源组。

1.2 Azure 蓝图的用途

从 Azure 蓝图的定义可以总结出来 Azure 蓝图有如下主要的功能（重要）：

Azure 蓝图可用于定义一组可重复的 Azure 资源，这些资源实施并遵守组织的标准、模式和要求。
借助蓝图，开发团队可以快速生成和部署新环境，并确信生成的这些环境符合组织规定。

1.3 Azure 蓝图的总结（重点）

使用 Azure 蓝图更容易遵守安全或合规性要求，无论是政府要求还是行业要求。
云架构师会经常使用。

Azure蓝图是一种声明式的方式来编排部署:

角色分配
政策的作业
Azure资源管理器模板
资源组
Azure 蓝图在 Azure DevOps 场景中很有用，因为它使自动化变得更容易。
实现 Azure 蓝图的步骤基本可以总结为：
1. 创建 Azure 蓝图
2. 分配蓝图
3. 跟踪蓝图分配

跟踪和审核：观察定义（应该部署什么）和蓝图分配（部署了什么）之间的关系

1.4 Azure 蓝图与 Azure 资源管理模板区别

事实上这两个东西是可以同时结合使用的。每个蓝本可以由零个或多个资源管理器模板构件组成。

但是这里为了记忆，还是总结下 Azure 蓝图和 Azure 资源管理模板区别：

	Azure 蓝图	Azure 资源管理模板
包组成	资源组、策略、角色分配和资源管理器模板部署	资源组、策略、角色分配
存储位置	原生在Azure中	要么在本地，要么在版本控制中。
追踪	观察应该部署和已经部署的内容	从部署的资源到模板没有活动的连接/关系
部署范围	Several subscription	订阅或资源组

1.5 Azure 蓝图与 Azure 策略（Policy）区别

策略是一个默认允许和明确拒绝的系统，在部署期间关注资源属性和已经存在的资源。策略可以作为蓝图定义中的众多构件之一。
蓝图还支持在策略和计划中使用参数。

二、Azure Policy（策略）

Azure Policy 是 Azure 云平台中的一项服务，用于定义、强制执行和审计资源配置规则。它允许组织在Azure环境中实施策略，以确保资源的合规性和一致性。

通过 Azure Policy，你可以定义单独的策略和相关策略组（称为“计划”）。 Azure Policy 将评估资源并突出显示不符合你创建的策略的资源。 Azure Policy 还可阻止创建不合规的资源。

在 Azure 门户中的 Azure 策略：

2.1 Azure 策略总结（重要）
- 用于定义、分配和管理环境中的资源标准。
- 它可以防止创建不允许使用的资源，确保新资源应用特定设置。
  并对现有资源运行评估以扫描不合规的情况。
- 使用 Azure 策略, 提供以下内容:
  - Azure 策略使用策略和计划来运行资源评估, 并扫描不符合您创建的策略的资源。
  - Azure 策略附带了许多内置的策略和计划定义, 您可以在存储、网络、计算、安全中心和监视等类别下使用这些定义。
  - Azure 蓝图由全球分布的 Azure Cosmos DB 提供支持。
    2.2 Azure 策略与 RBAC
    - RBAC关注不同作用域上的用户操作。
      - 例如，资源组的贡献者角色允许对资源组做出贡献
      - Azure策略侧重于资源属性
        无论是在部署期间还是对于现有资源。
        Azure 策略控制诸如资源类型或位置之类的属性。
        与 RBAC 不同，Azure策略是一个默认允许并明确拒绝的系统。
        2.3 创建 Azure 策略步骤
        
        若要创建并实施 Azure Policy，请先创建策略定义。每种策略定义在其特定的条件下将被强制执行。并且，在满足条件时将出现
        随附效果。
        
        将策略应用于您的资源包括以下步骤：
        
        1. 创建策略定义
        
        这一个步骤中主要来做评估什么，应该采取什么行动。有强制执行的条件、有伴随效应即在条件满足时发生的伴随效应
        
        例如，在部署资源时限制你的组织可以指定的位置
        
        创建策略定义是以 JSON 格式表示，GitHub上有很多示例：https://github.com/Azure/azure-policy
        
        例如，只允许指定虚拟机大小的策略：
        
        { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Compute/virtualMachines" }, { "not": { "field": "Microsoft.Compute/virtualMachines/sku.name", "in": "[parameters('listOfAllowedSKUs')]" // 将策略定义应用于范围时填充的替换令牌 } } ] }, "then": { "effect": "Deny" } }
        
        2. 将定义分配给资源范围
        
        确定在哪些资源或资源组上执行策略分配。从管理组到资源组。
        
        3. 查看策略评估结果
        
        三、Azure 资源锁
        
        Azure 资源锁是一种在 Azure 云平台中用于保护和防止资源被删除或修改的安全功能。通过应用资源锁，可以确保在资源上执行某些操作时保持数据的完整性和稳定性。
        
        具体来说，Azure资源锁有两种级别：
        
        删除锁（Delete Lock）：删除锁是最严格的资源锁级别。当资源被应用了删除锁之后，任何试图删除该资源的操作都会被阻止，包括通过Azure门户、Azure CLI、Azure PowerShell等方式进行删除。删除锁是为了确保重要资源不会意外或非法地被删除。
        
        只读锁（Read-only Lock）：只读锁允许对资源进行读取操作，但阻止对资源进行修改操作。这意味着资源的配置和属性可以被查看，但不能进行更改。只读锁适用于需要保护资源免受意外修改的情况。
        
        四、Azure 服务信任门户
        
        服务信任门户 (STP) 是 Microsoft 公共网站, 用于发布与 Microsoft 云服务相关的审计报告和其他合规性信息。
        
        访问信任文档, 帮助您了解 Microsoft 云服务如何帮助保护您的数据。
        
        Azure 服务信任门户官方链接： https://servicetrust.microsoft.com/
        
        文末送书
        
        本文探讨了 Azure 云平台中的几个关键服务：Azure 蓝图、Azure 策略、Azure 资源锁以及 Azure 服务信任门户。通过了解这些服务的概念、用途和区别，读者可以更好地管理和保护在 Azure 云中的资源。
        
        现在是文末送书福利时间：
        
        参与评论有机会获得博主送书，我们会抽取1~2个小伙伴分别送出下面图书。
        
        《Java从入门到精通（第7版）》从初学者角度出发，通过通俗易懂的语言、丰富多彩的实例，详细讲解了使用Java语言进行程序开发需要掌握的知识。全书分为4篇共24章，内容包括初识Java，开发工具（IDEA、Eclipse），Java语言基础，流程控制，数组，类和对象，继承、多态、抽象类与接口，包和内部类，异常处理，字符串，常用类库，集合类，枚举类型与泛型，lambda表达式与流处理，I/O（输入/输出），反射与注解，数据库操作，Swing程序设计，Java绘图，多线程，并发，网络通信，飞机大战游戏，MR人脸识别打卡系统。书中所有知识都结合具体实例进行讲解，涉及的程序代码都给出了详细的注释，这可以帮助读者轻松领会Java程序开发的精髓，并快速提高开发技能。
        
        《Java从入门到精通（第7版）》京东官方购买链接：https://item.jd.com/14067396.html
        [ 本文作者 ] bluetata [ 原文链接 ] https://bluetata.blog.csdn.net/article/details/131842152 [ 最后更新 ] 07/21/2023 1:18 [ 版权声明 ] 如果您在非 CSDN 网站内看到这一行，说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章，可能导致内容不完整，请去上述的原文链接查看原文。