《Windows Azure Platform 系列文章目录》

 

  我们知道,在Azure服务层级中,分为以下几个层次:

  1.企业合同

  2.订阅

  3.资源组

  4.资源

  我们使用的Azure资源,其实都是部署在Azure资源组中的。

 

  但是有个时候,我们需要对Azure资源组设置规则或者策略,以符合公司对于云平台上资源的安全性和合规性要求。

  举个例子: 

  1.我们在创建Azure资源的时候,需要强制给资源组增加TAG (标签),

  2.我们在创建Azure虚拟机的时候,需要用户同时设置虚拟机备份功能,否则不允许用户创建虚拟机。

  3.我们在创建Azure虚拟机的时候,只能选择某些机型(比如4Core, 8Core),其他类型的虚拟机,如GPU虚拟机等,都不允许用户进行创建

  

  在这种场景中,我们就可以设置Azure Policy策略,来符合安全性和合规性。

 

  Azure Policy和Azure RBAC (Role Based Access Control)有什么区别?

  Azure RBAC是限制了用户的权限,比如什么用户,可以针对资源组设置什么权限。

  比如我们有1个账户,可以针对资源组设置Owner,Contributor和Reader权限。

  简单的说,RBAC设置了什么用户,拥有的权限,比如增、删、改、查等等

 

  Azure Policy设置了Azure资源的合规性。在Azure Policy中,提供了很多默认的Policy,比如:

  (1)只允许用户在某些数据中心创建资源

  (2)只允许创建SQL Server version 12的PaaS服务

  (3)只允许用户创建某些虚拟机类型

  (4)必须在创建资源的时候,必须设置资源组增加TAG (标签)

  (5)不允许用户创建其他类型的资源

 

  Azure Policy的生效范围:

  (1)Azure Policy可以设置在整个订阅级别。即订阅下所有的资源组,都必须符合Policy的策略要求

  (2)Azure Policy可以设置在某一个资源组范围。即只有这1个资源组,必须符合Policy的策略要求

  (3)我们还可以设置Azure Policy的排除,即对某些资源不生效。

  举个例子,我们在一个订阅下,有生产资源组(Production-RG)和测试资源组(Test-RG)。

  我们在设置虚拟机备份的Policy,对于生产资源组(Production-RG)是生效的,但是对于测试资源组(Test-RG)不生效

  

  自定义Policy

  虽然Azure默认提供了默认的Policy,我们还可以创建自定义Policy,以符合公司的安全性和合规性的要求