《Windows Azure Platform 系列文章目录》
我们知道,在Azure服务层级中,分为以下几个层次:
1.企业合同
2.订阅
3.资源组
4.资源
我们使用的Azure资源,其实都是部署在Azure资源组中的。
但是有个时候,我们需要对Azure资源组设置规则或者策略,以符合公司对于云平台上资源的安全性和合规性要求。
举个例子:
1.我们在创建Azure资源的时候,需要强制给资源组增加TAG (标签),
2.我们在创建Azure虚拟机的时候,需要用户同时设置虚拟机备份功能,否则不允许用户创建虚拟机。
3.我们在创建Azure虚拟机的时候,只能选择某些机型(比如4Core, 8Core),其他类型的虚拟机,如GPU虚拟机等,都不允许用户进行创建
在这种场景中,我们就可以设置Azure Policy策略,来符合安全性和合规性。
Azure Policy和Azure RBAC (Role Based Access Control)有什么区别?
Azure RBAC是限制了用户的权限,比如什么用户,可以针对资源组设置什么权限。
比如我们有1个账户,可以针对资源组设置Owner,Contributor和Reader权限。
简单的说,RBAC设置了什么用户,拥有的权限,比如增、删、改、查等等
Azure Policy设置了Azure资源的合规性。在Azure Policy中,提供了很多默认的Policy,比如:
(1)只允许用户在某些数据中心创建资源
(2)只允许创建SQL Server version 12的PaaS服务
(3)只允许用户创建某些虚拟机类型
(4)必须在创建资源的时候,必须设置资源组增加TAG (标签)
(5)不允许用户创建其他类型的资源
Azure Policy的生效范围:
(1)Azure Policy可以设置在整个订阅级别。即订阅下所有的资源组,都必须符合Policy的策略要求
(2)Azure Policy可以设置在某一个资源组范围。即只有这1个资源组,必须符合Policy的策略要求
(3)我们还可以设置Azure Policy的排除,即对某些资源不生效。
举个例子,我们在一个订阅下,有生产资源组(Production-RG)和测试资源组(Test-RG)。
我们在设置虚拟机备份的Policy,对于生产资源组(Production-RG)是生效的,但是对于测试资源组(Test-RG)不生效
自定义Policy
虽然Azure默认提供了默认的Policy,我们还可以创建自定义Policy,以符合公司的安全性和合规性的要求