Azure Policy Nedir?
BT yönetimi, iş hedefleri ile BT projeleri arasında netlik yaratır. İyi bir BT yönetimi, inisiyatiflerinizi planlamayı ve öncelikleri stratejik düzeyde ayarlamayı gerektirir. Şirketiniz hiçbir zaman çözülmüş görünmeyen önemli sayıda BT sorunuyla karşılaşıyor mu? Politikaları uygulamak, onları daha iyi yönetmenize ve bunları önlemenize yardımcı olur.
Azure Policy, Azure’da politika tanımlarını oluşturmak, atamak ve yönetmek için kullandığınız bir hizmettir. İlke tanımları, kaynaklarınıza göre farklı kurallar ve eylemler uygular, bu nedenle bu kaynaklar kurumsal standartlarınız ve hizmet düzeyi sözleşmelerinizle uyumlu kalır. Azure Policy, sahip olduğunuz ilke tanımlarına uymayan kişilere göre tarama yaparak kaynaklarınızı değerlendirir. Örneğin, yalnızca belirli türdeki sanal makinelere izin vermek için bir ilkeye sahip olabilirsiniz. Bir diğeri, tüm kaynakların belirli bir etikete sahip olmasını gerektirir. Bu politikalar daha sonra kaynakları oluştururken ve güncellerken değerlendirilir.
RBAC’den farkı nedir?
İlke ve rol tabanlı erişim kontrolü (RBAC) arasında birkaç temel farklılık vardır. RBAC farklı alanlarda kullanıcı eylemlerine odaklanır. Örneğin, istenen kapsamda bir kaynak grubu için katılımcı rolüne eklenebilir. Rol, o kaynak grubunda değişiklikler yapmanıza izin verir. Policy, dağıtım esnasındaki ve mevcut kaynaklar için kaynak özelliklerine odaklanmaktadır. Örneğin, policyler aracılığıyla, sağlanabilecek kaynak türlerini kontrol edebilirsiniz. Veya, kaynakların sağlanabileceği yerleri kısıtlayabilirsiniz. RBAC’ın aksine, policy bir varsayılan izin ve açık reddetme sistemidir.
Policy Tanımı
Her policy tanımı, şart koştuğu şartlara sahiptir. Ve koşullar yerine getirildiğinde gerçekleşen bir eşlik eden eylem vardır. Azure Policy’de varsayılan olarak sizin tarafınızdan kullanılabilen bazı yerleşik politikalar sunulmaktadır. Örneğin:
- SQL Server 12.0: Bu ilke tanımında, tüm SQL sunucularının 12.0 sürümünü kullanmasını sağlamak için koşullar / kurallar vardır. Eylemi bu ölçütleri karşılamayan tüm sunucuları reddetmektir.
- Allowed Storage Account SKUs: Bu ilke tanımı, dağıtılan bir depolama hesabının SKU boyutları kümesinde olup olmadığını belirleyen bir dizi koşul / kural içerir. İşlem, tanımlanmış SKU boyutları kümesine uymayan tüm sunucuları reddetmektir.
- Allowed Resource Type: Bu ilke tanımında, kuruluşunuzun uygulayabileceği kaynak türlerini belirlemek için bir dizi koşul / kural bulunur. Eylem, bu tanımlı listenin parçası olmayan tüm kaynakları reddetmektir.
- Allowed Locations: Bu politika, kuruluşunuzun kaynakları dağıtırken belirtebileceği yerleri kısıtlamanıza olanak tanır. İşlem, coğrafi uyum gereksinimlerini uygulamak için kullanılır.
- Allowed Virtual Machine SKUs: Bu ilke, kuruluşunuzun uygulayabileceği bir dizi sanal makine SKU’yu belirtmenizi sağlar.
- Apply tag and its default value: Bu politika, kullanıcı tarafından belirtilmezse, gerekli bir etiketi ve varsayılan değerini uygular.
- Enforce tag and its value: Bu politika, gerekli etiketi ve değerini bir kaynağa zorlar.
- Not allowed resource types: Bu ilke, kuruluşunuzun dağıtamayacağı kaynak türlerini belirtmenizi sağlar.
Bu politikalardan herhangi birini Azure portalı, PowerShell veya Azure CLI aracılığıyla atayabilirsiniz.
Policy Ataması
Bir policy atama, belirli bir kapsam dahilinde gerçekleştirilmek üzere atanan bir ilke tanımlamasıdır. Bu kapsam bir yönetim grubundan bir kaynak grubuna kadar değişebilir. Kapsam terimi, ilke tanımının atandığı tüm kaynak gruplarını, abonelikleri veya yönetim gruplarını belirtir. Politika atamaları, tüm sub kaynakları tarafından devralınır. Bu nedenle, bir ilke bir kaynak grubuna uygulanırsa, o kaynak grubundaki tüm kaynaklara uygulanır. Ancak, bir alt komisyonu ilke atamasından hariç tutabilirsiniz. Örneğin, abonelik kapsamındayken, ağ kaynaklarının oluşturulmasını engelleyen bir ilke atayabilirsiniz. Ancak, ağ altyapısı için tasarlanan abonelik içindeki bir kaynak grubunu dışlayabilirsiniz. Ağ kaynaklarını oluşturmaya güvendiğiniz kullanıcılar için bu ağ kaynak grubuna erişim izni verebilirsiniz.
Policy Parametreleri
Policy parametreleri, oluşturmanız gereken ilke tanımlarının sayısını azaltarak politika yönetiminizi basitleştirmeye yardımcı olur. Daha genel hale getirmek için bir ilke tanımı oluştururken parametreleri tanımlayabilirsiniz. Sonra, bu ilke tanımını farklı senaryolarda yeniden kullanabilirsiniz. İlke tanımını atarken farklı değerler geçirerek yapabilirsiniz. Örneğin, bir abonelik için bir dizi yer belirtebilirsiniz.
Parametreler, bir ilke tanımını oluştururken tanımlanır / oluşturulur. Bir parametre tanımlandığında, bir ad verilir ve isteğe bağlı olarak bir değer verilir. Örneğin, konum etiketli bir politika için bir parametre tanımlayabilirsiniz. Sonra bir politika tayin ederken EastUS veya WestUS gibi farklı değerler verebilirsiniz.
Girişim Tanımı
Bir inisiyatif tanımlaması, tekil bir kapsayıcı hedefe ulaşmak için uyarlanmış politika tanımlarının toplanmasıdır. Girişim tanımları, ilke tanımlarını yönetmeyi ve atamayı basitleştirir. Bir dizi politika tek bir madde olarak gruplandırılarak basitleştirilirler. Örneğin, Azure Güvenlik Merkezinizdeki tüm mevcut güvenlik önerilerini izlemek amacıyla Azure Güvenlik Merkezi’nde İzlemeyi Etkinleştir başlıklı bir girişim oluşturabilirsiniz.