Azure ARM (22) Azure Policy入门

　　《Windows Azure Platform 系列文章目录》

　　我们知道，在Azure服务层级中，分为以下几个层次：

　　1.企业合同

　　2.订阅

　　3.资源组

　　4.资源

　　我们使用的Azure资源，其实都是部署在Azure资源组中的。

　　但是有个时候，我们需要对Azure资源组设置规则或者策略，以符合公司对于云平台上资源的安全性和合规性要求。

　　举个例子：　

　　1.我们在创建Azure资源的时候，需要强制给资源组增加TAG (标签)，

　　2.我们在创建Azure虚拟机的时候，需要用户同时设置虚拟机备份功能，否则不允许用户创建虚拟机。

　　3.我们在创建Azure虚拟机的时候，只能选择某些机型(比如4Core, 8Core)，其他类型的虚拟机，如GPU虚拟机等，都不允许用户进行创建

　　

　　在这种场景中，我们就可以设置Azure Policy策略，来符合安全性和合规性。

　　Azure Policy和Azure RBAC (Role Based Access Control)有什么区别？

　　Azure RBAC是限制了用户的权限，比如什么用户，可以针对资源组设置什么权限。

　　比如我们有1个账户，可以针对资源组设置Owner，Contributor和Reader权限。

　　简单的说，RBAC设置了什么用户，拥有的权限，比如增、删、改、查等等

　　Azure Policy设置了Azure资源的合规性。在Azure Policy中，提供了很多默认的Policy，比如：

　　(1)只允许用户在某些数据中心创建资源

　　(2)只允许创建SQL Server version 12的PaaS服务

　　(3)只允许用户创建某些虚拟机类型

　　(4)必须在创建资源的时候，必须设置资源组增加TAG (标签)

　　(5)不允许用户创建其他类型的资源

　　Azure Policy的生效范围：

　　(1)Azure Policy可以设置在整个订阅级别。即订阅下所有的资源组，都必须符合Policy的策略要求

　　(2)Azure Policy可以设置在某一个资源组范围。即只有这1个资源组，必须符合Policy的策略要求

　　(3)我们还可以设置Azure Policy的排除，即对某些资源不生效。

　　举个例子，我们在一个订阅下，有生产资源组(Production-RG)和测试资源组(Test-RG)。

　　我们在设置虚拟机备份的Policy，对于生产资源组(Production-RG)是生效的，但是对于测试资源组(Test-RG)不生效

　　

　　自定义Policy

　　虽然Azure默认提供了默认的Policy，我们还可以创建自定义Policy，以符合公司的安全性和合规性的要求