Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo usar Azure Policy en un entorno local de Azure desconectado para aplicar el cumplimiento y administrar los recursos a escala. Azure Policy ayuda a las organizaciones a cumplir los estándares comprobando las propiedades de los recursos con respecto a las reglas de negocio, incluso cuando se desconectan de la nube de Azure.
Acerca del uso de Azure Policy en un entorno de Azure Local sin conexión.
Azure Policy le ayuda a cumplir los estándares de la organización comprobando las propiedades de los recursos con respecto a las reglas de negocio. Estas reglas, descritas en formato JSON, se denominan definiciones de directiva. Asigne estas reglas a ámbitos como suscripciones o recursos individuales en el ámbito de Resource Manager. Para más información, consulte la Introducción a Azure Policy.
En las operaciones desconectadas de Azure Local, la aplicación de directivas admite servidores habilitados para Arc y Kubernetes habilitados para Arc. La implementación de operaciones desconectadas de Azure Local incluye algunas definiciones de directiva integradas. Los operadores activan estas directivas mediante la creación de asignaciones de directivas en el ámbito de destino mediante el portal de operaciones desconectado o la CLI. El cumplimiento depende del tipo de directiva.
Ventajas
Azure Policy para operaciones desconectadas locales de Azure le permite aplicar directivas en todos los servicios de Azure compatibles, por lo que administra y configura recursos a escala.
Con Azure Policy en un entorno local de Azure desconectado, puede hacer lo siguiente:
- Asegúrese de que la creación de recursos sea coherente y compatible.
- Céntrese en tareas de alta sensibilidad. Las operaciones desconectadas son ideales para sectores con regulaciones estrictas y Azure Policy es esencial para el éxito de la característica de operaciones desconectadas.
- Aplicar políticas en todos los servicios de Arc compatibles durante operaciones sin conexión.
Prerrequisitos
Debe seguir estos pasos:
- Tener acceso a una instancia local de Azure con operaciones desconectadas para Azure Local implementadas.
- Revise las directivas integradas.
- Identifique la definición de directiva que desea asignar.
Para obtener más información, consulte Directivas integradas admitidas.
Habilitación de Azure Policy
Puede usar Azure Policy para aplicar etiquetas en varios recursos. En este ejemplo, se usa una directiva integrada que aplica etiquetas en grupos de recursos. Esta directiva impide la creación de grupos de recursos sin la etiqueta necesaria. Para habilitar una instancia de Azure Policy, siga estos pasos:
Configura lo básico
Inicie sesión en azure Local Portal y vaya a Directiva.
En la sección Creación , seleccione Asignaciones y, a continuación, seleccione + Asignar directiva.
Identifique el ámbito, la definición de directiva y el nombre de la asignación.
Cambie la aplicación de la política a Habilitado.
Seleccione Parámetros para continuar con el paso siguiente.
Establecer los parámetros:
En la sección Parámetros , escriba el nombre de etiqueta necesario.
Escriba un nombre para la etiqueta y seleccione Revisar y crear.
Después de crear la directiva, no puede crear grupos de recursos sin la etiqueta necesaria.
Directivas integradas admitidas
En la tabla siguiente se resumen las directivas integradas admitidas para las operaciones desconectadas locales de Azure.
| Nombre de la política | Descripción | Vínculo de documentación de Azure |
|---|---|---|
| Categoría: Etiquetas | ||
| Agregue o reemplace una etiqueta en los recursos. | : agrega o reemplaza la etiqueta y el valor especificados cuando se crea o actualiza cualquier recurso. - Los recursos existentes se pueden corregir iniciando una tarea de corrección. : no modifica etiquetas en grupos de recursos. |
Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Agregue o reemplace una etiqueta en grupos de recursos. | : agrega o reemplaza la etiqueta y el valor especificados cuando se crea o actualiza cualquier grupo de recursos. - Los grupos de recursos existentes se pueden corregir desencadenando una tarea de corrección. |
Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Agregue o reemplace una etiqueta en las suscripciones. | - Agrega o reemplaza la etiqueta y el valor especificados en las suscripciones a través de una tarea de corrección. - Los grupos de recursos existentes se pueden corregir desencadenando una tarea de corrección. Para más información, consulte Corrección de Azure Policy. |
Asignación de definiciones de directiva para el cumplimiento de etiquetas |
| Agregue una etiqueta a los recursos. | : agrega la etiqueta y el valor especificados cuando se crea o actualiza cualquier recurso que falte esta etiqueta. - Los recursos existentes se pueden corregir desencadenando una tarea de corrección. - Si la etiqueta existe con un valor diferente, no se cambia. : no modifica etiquetas en grupos de recursos. |
Asignación de definiciones de políticas para el cumplimiento de tags |
| Agregue una etiqueta a los grupos de recursos. | : agrega la etiqueta y el valor especificados cuando se crea o actualiza cualquier grupo de recursos que falte esta etiqueta. - Los grupos de recursos existentes se pueden corregir desencadenando una tarea de corrección. - Si la etiqueta existe con un valor diferente, no se cambia. |
Asignación de definiciones de directiva para el cumplimiento de etiquetas |
| Agregue una etiqueta a las suscripciones. | Agrega la etiqueta y el valor especificados a las suscripciones a través de una tarea de corrección. - Si la etiqueta existe con un valor diferente, no se cambia. Para más información, consulte Corrección de Azure Policy. |
Asignar definiciones de políticas para cumplimiento de etiquetas |
| Hereda una etiqueta del grupo de recursos. | : agrega o reemplaza la etiqueta y el valor especificados del grupo de recursos primario cuando se crea o actualiza cualquier recurso. - Los recursos existentes pueden ser remediados iniciando una tarea de corrección. |
Asignar definiciones de política para el cumplimiento de etiquetas |
| Si falta, hereda una etiqueta de la suscripción. | : agrega la etiqueta especificada con su valor de la suscripción contenedora cuando se crea o actualiza cualquier recurso que falte esta etiqueta. - Los recursos existentes se pueden corregir desencadenando una tarea de corrección. - Si la etiqueta existe con un valor diferente, no se cambia. |
Asigne definiciones de directiva para el cumplimiento de etiquetas |
| Hereda una etiqueta del grupo de recursos si falta. | : agrega la etiqueta y el valor especificados del grupo de recursos cuando se crea o actualiza cualquier recurso que falte esta etiqueta. - Los recursos existentes se pueden corregir iniciando una tarea de corrección. - Si la etiqueta existe con un valor diferente, no se cambia. |
Asignar definiciones de directiva para asegurar el cumplimiento de etiquetas |
| Anexe una etiqueta y su valor del grupo de recursos. | : anexa la etiqueta y el valor especificados del grupo de recursos cuando se crea o actualiza cualquier recurso que falte esta etiqueta. : no modifica las etiquetas de los recursos creados antes de aplicar esta directiva hasta que se cambien esos recursos. - Hay nuevas directivas de efecto "modificar" disponibles que admiten la corrección de etiquetas en los recursos existentes. Para obtener más información, vea Modificar directivas de efecto. |
Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Anexe una etiqueta y su valor a los recursos. | : anexa la etiqueta y el valor especificados cuando se crea o actualiza cualquier recurso que falte esta etiqueta. : no modifica las etiquetas de los recursos creados antes de aplicar esta directiva hasta que se cambien esos recursos. : no se aplica a los grupos de recursos. - Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en los recursos existentes (consulte https://aka.ms/modifydoc). |
Asignación de definiciones de directiva para el cumplimiento de etiquetas |
| Anexe una etiqueta y su valor a los grupos de recursos. | : anexa la etiqueta y el valor especificados cuando se crea o actualiza cualquier grupo de recursos que falte esta etiqueta. : no modifica las etiquetas de los grupos de recursos creados antes de aplicar esta directiva hasta que se cambien esos grupos de recursos. - Hay nuevas directivas de efecto "modificar" disponibles que admiten la corrección de etiquetas en los recursos existentes. Para obtener más información, vea Modificar directivas de efecto. |
Asignar definiciones de directivas para el cumplimiento de etiquetas |
| Requerir una etiqueta y su valor para los recursos. | Impone una etiqueta obligatoria y su valor en los grupos de recursos. | Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Requerir una etiqueta en los recursos | Requiere que haya una etiqueta. No se aplica a los grupos de recursos. | Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Requerir una etiqueta y su valor en grupos de recursos. | Impone una etiqueta obligatoria y su valor en los grupos de recursos. | Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Requerir una etiqueta en grupos de recursos. | Requiere que se use una etiqueta en los grupos de recursos. | Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Categoría: Azure Kubernetes Service | ||
| Los límites de recursos de memoria y CPU de los contenedores de clústeres de Kubernetes no deben superar los límites especificados. | - Aplicar límites de recursos de memoria y CPU de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. Esta directiva está generalmente disponible para Kubernetes Service (AKS) y en versión preliminar para Azure Arc habilitado para Kubernetes. - Para más información, consulte Directiva de Azure Kubernetes Service. |
Definiciones integradas de Azure Policy para Azure Kubernetes Service |
| Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas. | - Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. - Para más información, consulte Directiva de Azure Kubernetes Service. |
Definiciones integradas de Azure Policy para Azure Kubernetes Service |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de acceso de host permitidas. | - Limite los montajes de volumen de HostPath del pod a las rutas de acceso permitidas del host en un clúster de Kubernetes. Esta directiva está generalmente disponible para Azure Kubernetes Service (AKS) y Azure Arc habilitado para Kubernetes. Para obtener más información, consulte: https://aka.ms/kubepolicydoc. |
Definiciones integradas de Azure Policy para Azure Kubernetes Service |
| Categoría: Configuración de invitado | ||
| Configure Linux Server para deshabilitar los usuarios locales. | - Crea una asignación de configuración de invitado para configurar la deshabilitación de usuarios locales en Linux Server. - Esta directiva garantiza que solo una cuenta de Microsoft Entra o una lista de usuarios permitidos explícitamente puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. |
Definiciones integradas de Azure Policy para Azure Virtual Machines |
| Configure protocolos de comunicación seguros, Seguridad de la capa de transporte (TLS) 1.2 o TLS 1.3 en servidores Windows. | - Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.2 o TLS 1.3) en la máquina Windows. | Definiciones integradas de Azure Policy para Azure Virtual Machines |
| Configurar la zona horaria en máquinas Windows. | Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. | Definiciones integradas de Azure Policy para Azure Virtual Machines |
| Requiere que los recursos no tengan una etiqueta específica. | ||
| Hereda una etiqueta de la suscripción. | : agrega o reemplaza la etiqueta y el valor especificados de la suscripción al crear o actualizar cualquier recurso. - Los recursos existentes se pueden corregir iniciando una tarea de corrección. |
Asignar definiciones de políticas para el cumplimiento de etiquetas |
| Los servidores web de Windows deben configurarse para usar protocolos de comunicación seguros. |
Características no admitidas
No se admiten las exenciones de directiva, las acciones de corrección ni el panel de cumplimiento.
Esta característica solo está disponible en Azure Local 2602 o posterior.