Dados do Autor: https://linktr.ee/edupopov
As políticas (em meu ponto de vista) são a forma mais simples de controlar o que acontece com os grupos de recursos. Por exemplo, podemos deixar restrito o armazenamento de máquinas virtuais em um grupo de recursos que esta destinado a armazenar redes virtuais (VNET).
As política do Azure ajudam a impor padrões organizacionais e a avaliar a conformidade em escala, por meio de seu painel de conformidade, fornece uma visão agregada para avaliar o estado geral do ambiente, com a capacidade de detalhar a granularidade por recurso e por política. Também ajuda a levar seus recursos à conformidade por meio da correção em massa de recursos existentes e correção automática de novos recursos.
É muito importante manter uma organização de recursos em seu ambiente, principalmente se em algum momento for necessário uma expansão abrupta. Organizar seus recursos para suportar a elasticidade que a nuvem pública pode ofertar é uma grande sacada dos melhores arquitetos de soluções. Veja a figura abaixo por exemplo. Aqui temos uma organização granular que pode ser utilizada como referência para construção de ambientes.
Pois bem, vamos aos passos da criação da política. A política que vamos criar aqui restringe a criação de um grupo de recursos, ou seja, será possível criar apenas
1. Faça logon em em seu portal do Microsoft Azure;
2. Clique em Resource groups, depois no grupo de recursos que deseja aplicar a regra (no meu caso escolhi o rg-lan-DC01-BrazilSouth) e então clique em Policies;
3. Clique em Assign policy. Note que esta janela tem um ícone com 100% bem grande. Esse registro de 100% é na verdade a contagem de recursos compatíveis com a aplicação da política (contagem de recursos compatíveis + recursos não compatíveis).
4. Faremos o preenchimento por etapas. Vamos com o seguinte:
a) Scope: Deixe aqui a plataforma que foi carregada com o grupo de recursos. Não mude nada nesta linha - Você pode, por exemplo escolher outros escopos se quiser;
b) Exclusions: Aqui podemos definir itens que terão exclusão a regra. Neste exemplo, deixe em brando. Não quero excluir nada desse grupo de recursos da regra. Como nosso teste esta sendo efetuado com um grupo de recursos vazio, não tenho nada a declarar nesta linha;
c) Basics: É aqui que farei a configuração da política. Clique no ícone dos 3 pontos e vamos seguir para as configurações;
5. Até o dia da criação deste post, haviam cerca de 461 políticas disponíveis. Obviamente esse número tente a crescer com o tempo. Dica importante... dominar as políticas pode ajudar muito com a administração de ambientes complexo. Vale a pena concentrar esforços e algumas horas de estudo neste conteúdo;
6. Na barra Search (barra de pesquisa), digite Type e selecione a opção Allowed resource types. Clique em select;
7. Agora você pode adicionar algum comentário que te ajude a identificar posteriormente a configuração que esta sendo efetuada. Ao término da digitação do comentário clique em Next.
8. A segunda etapa de configurações envolve a adição de parâmetros. Clique em allowed resource types (no menu drop down). Será apresentado uma série de opções);
9. Na barra de pesquise filtre as opções por network. Depois selecione as seguintes opções (lembrando que estou sendo bem abrangente, atendendo quase tudo dentro dos recursos chamado "redes"). Ao término clique em Next;
a) networksSecurityGroup
b) virtualNetworks
c) virtualNetworks/remoteVirtualNetworkPeeringProxies
d) virtualNetworks/virtualNetworkPeerings
e) networkProfiles
f) networkInterfaces/tapConfiguration
g) networkInterfaces
h) networkSecurityGroups/securityRules
i) virtualNetworksTaps
j) virtualNetworks/taggedTrafficConsumers
k) virtualNetworks/subnets
l) virtualNetworks
m) virtualNetworksGateways
10. Nesta próxima etapa vamos clicar em Review + create;
11. Agora é só clicar em Create e aguardar até que a política seja aplicada;
12. Após a criação da política, clique em Overview e note que é possível identifica-la no centro da tela. Clique em cima da politica criada para obter mais detalhes.
13. Nesta tela podemos ver os detalhes da política, incluindo os eventos dos últimos 07 dias. É importante reforçar que uma política recém-atribuída tem o estado 'Não iniciado'. Você deve atualizar a exibição para ver os resultados mais recentes da avaliação. Se você vir 'Não iniciado' para atribuições existentes, verifique se possui as permissões RBAC 'Microsoft.PolicyInsights.
14. Você pode editar as configurações da política que criou clicando em Edit assignment
Depois de criar uma política ela precisa ser atribuída. Uma atribuição é na verdade uma definição ou iniciativa de política para ocorrer dentro de um escopo específico. Esse escopo pode variar de um grupo de gerenciamento a um recurso individual. O termo escopo refere-se a todos os recursos, grupos de recursos, assinaturas ou grupos de gerenciamento aos quais a definição está atribuída. As atribuições são herdadas por todos os recursos filho. Esse design significa que uma definição aplicada a um grupo de recursos também é aplicada aos recursos desse grupo de recursos. No entanto, você pode excluir um sub-escopo da atribuição.
Por exemplo, no escopo da assinatura, você pode atribuir uma definição que impeça a criação de recursos de rede. Você pode excluir um grupo de recursos nessa assinatura destinado à infraestrutura de rede. Você concede acesso a esse grupo de recursos de rede para usuários confiáveis com a criação de recursos de rede.
15. Como teste final, tento criar uma máquina virtual dentro do grupo de recursos e recebo uma mensagem informando que não será possível efetuar a criação. É bem prático e muito fácil de criar, porém recomendo algumas horas de estudo pois são muitas opções. É bem difícil conhecer todas e saber exatamente o que fazem (mas não é impossível).
