Azure ARM (22) Azure Policy入门
《Windows Azure Platform 系列文章目录》
我们知道,在Azure服务层级中,分为以下几个层次:
1.企业合同
2.订阅
3.资源组
4.资源
我们使用的Azure资源,其实都是部署在Azure资源组中的。
但是有个时候,我们需要对Azure资源组设置规则或者策略,以符合公司对于云平台上资源的安全性和合规性要求。
举个例子:
1.我们在创建Azure资源的时候,需要强制给资源组增加TAG (标签),
2.我们在创建Azure虚拟机的时候,需要用户同时设置虚拟机备份功能,否则不允许用户创建虚拟机。
3.我们在创建Azure虚拟机的时候,只能选择某些机型(比如4Core, 8Core),其他类型的虚拟机,如GPU虚拟机等,都不允许用户进行创建
在这种场景中,我们就可以设置Azure Policy策略,来符合安全性和合规性。
Azure Policy和Azure RBAC (Role Based Access Control)有什么区别?
Azure RBAC是限制了用户的权限,比如什么用户,可以针对资源组设置什么权限。
比如我们有1个账户,可以针对资源组设置Owner,Contributor和Reader权限。
简单的说,RBAC设置了什么用户,拥有的权限,比如增、删、改、查等等
Azure Policy设置了Azure资源的合规性。在Azure Policy中,提供了很多默认的Policy,比如:
(1)只允许用户在某些数据中心创建资源
(2)只允许创建SQL Server version 12的PaaS服务
(3)只允许用户创建某些虚拟机类型
(4)必须在创建资源的时候,必须设置资源组增加TAG (标签)
(5)不允许用户创建其他类型的资源
Azure Policy的生效范围:
(1)Azure Policy可以设置在整个订阅级别。即订阅下所有的资源组,都必须符合Policy的策略要求
(2)Azure Policy可以设置在某一个资源组范围。即只有这1个资源组,必须符合Policy的策略要求
(3)我们还可以设置Azure Policy的排除,即对某些资源不生效。
举个例子,我们在一个订阅下,有生产资源组(Production-RG)和测试资源组(Test-RG)。
我们在设置虚拟机备份的Policy,对于生产资源组(Production-RG)是生效的,但是对于测试资源组(Test-RG)不生效
自定义Policy
虽然Azure默认提供了默认的Policy,我们还可以创建自定义Policy,以符合公司的安全性和合规性的要求
最新文章
- The innocence is brilliant.
- IT关键词,发现与更新,点成线,线成面,面成体
- Java Android HTTP实现总结
- Java JDBC高级特性
- C++ essentials 之 static 关键字
- Java多线程文件下载
- KxMenu下拉菜单
- LightOJ1033 Generating Palindromes(区间DP/LCS)
- webapp框架集合
- [转] HBase的特征和优点
- Swift编程语言学习12 ——实例方法(Instance Methods)和类型方法(Type Methods)
- c#中foreach的一种用法
- Hadoop源码篇---解读Mapprer源码outPut输出
- 【Java数据结构学习笔记之一】线性表的存储结构及其代码实现
- 使用 Moq 测试.NET Core 应用 -- Mock 方法
- Accumulator<;Long>; implements of JavaSparkContext in Spark1.x
- stm32GPIO的8种工作模式
- CGLIB介绍
- .NET Windows Form 改变窗体类名(Class Name)有多难?
- 网络编程的演进——从Apache到Nginx
热门文章
- AngularJS的表单验证提交示例
- [C++设计模式] proxy 代理模式
- Convert Sorted List to Binary Search Tree——将链表转换为平衡二叉搜索树 &;&;convert-sorted-array-to-binary-search-tree——将数列转换为bst
- Java 多线程1(转载)
- makefile编写---.c .cpp 混合编译makefile 模板
- 【转】Android IDA 动态调试最完善攻略,跨过各种坑
- Javascript MVC 学习笔记(二) 控制器和状态
- 我在开发第一个Swift App过程中学到的四件事
- EasyDarwin云存储方案调研:海康萤石云采用的是MPEG-PS打包的方式进行的存储
- 九度OJ 1100:最短路径 (最短路径)