Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

Ｒ Précédente Unité 2 sur 8 Ｓ Suivant Ｔ

＂ 100 XP

Définir la conformité
informatique avec Azure Policy
8 minutes

La planification d’une infrastructure cloud cohérente commence par la définition

d’une stratégie. Vos stratégies vous permettent de mettre en œuvre les règles
relatives aux ressources créées. Ainsi, votre infrastructure reste conforme aux
standards de l’entreprise, aux exigences de coûts et aux contrats SLA conclus avec
vos clients.

Azure Policy est un service Azure qui vous permet de créer, d’affecter et de gérer
des stratégies. Ces stratégies appliquent différentes règles et différents effets à vos
ressources. Ainsi, ces dernières restent conformes aux standards et aux SLA (contrats
de niveau de service) de votre entreprise. Azure Policy répond à ce besoin en
évaluant la conformité de vos ressources aux stratégies affectées. Par exemple, vous
pouvez avoir une stratégie qui autorise uniquement les machines virtuelles d’une
certaine taille dans votre environnement. Une fois cette stratégie implémentée, la
conformité des ressources nouvelles et déjà existantes est évaluée. Avec le bon type
de stratégie, les ressources existantes peuvent être mises en conformité.

Imaginez que nous permettions à toutes les personnes de notre organisation de

créer des machines virtuelles. Nous souhaitons contrôler les coûts. Ainsi,
l’administrateur de notre locataire Azure définit une stratégie interdisant la création
de toute machine virtuelle ayant plus de 4 processeurs. Une fois la stratégie
implémentée, Azure Policy empêche quiconque de créer une machine virtuelle en
dehors de la liste des références SKU (stock keeping unit) autorisées. De même, si

1 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

vous essayez de mettre à jour une machine virtuelle existante, elle est vérifiée par la
stratégie. Enfin, Azure Policy va auditer toutes les machines virtuelles existantes de
notre organisation pour vérifier que notre stratégie est appliquée. Il peut auditer les
ressources non conformes, modifier les propriétés de la ressource concernée ou
arrêter la création de cette dernière. Vous pouvez même intégrer Azure Policy à
Azure DevOps en appliquant les stratégies relatives aux pipelines d’intégration
continue et de livraison continue qui affectent le prédéploiement et le
postdéploiement de vos applications.

En quoi Azure Policy et RBAC sont-ils différents ?

À première vue, il semble qu’Azure Policy permette de restreindre l’accès à des

types de ressource spécifiques, à l’image du contrôle d’accès en fonction du rôle
(RBAC). Toutefois, ils ne résolvent pas les mêmes problèmes. RBAC se focalise
sur les actions des utilisateurs dans différentes étendues . Vous pouvez être
ajouté au rôle Contributeur d’un groupe de ressources, ce qui vous permet
d’apporter des changements à n’importe quel élément de ce groupe de
ressources. Azure Policy se focalise sur les propriétés des ressources durant le
déploiement et sur les ressources déjà existantes. Azure Policy contrôle des
propriétés comme les types ou les emplacements des ressources. Contrairement
à RBAC, Azure Policy est un système d’autorisations par défaut et de refus
explicites.

Création d’une stratégie

Le processus de création et d’implémentation d’une stratégie Azure commence par la
création d’une définition de stratégie. Chaque définition de stratégie comporte des
conditions dans lesquelles elle est appliquée. Si les conditions sont remplies, un effet
d’accompagnement a lieu. Pour appliquer une stratégie, vous devez :

1. Créer une définition de stratégie

2. Attribuer une définition à une étendue de ressources
3. Voir les résultats de l’évaluation de stratégie

Qu’est-ce qu’une définition de stratégie ?

2 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

Une définition de stratégie indique ce qu’il faut évaluer et l’action à entreprendre. Par
exemple, vous pouvez vérifier que tous les sites web publics sont sécurisés à l’aide du
protocole HTTPS, empêcher la création d’un type de stockage particulier ou forcer
l’utilisation d’une version spécifique de SQL Server.

Voici certaines des définitions de stratégie les plus courantes que vous pouvez
appliquer.

Définition de stratégie Description

Références SKU de compte de stockage Cette définition de stratégie a un ensemble

autorisées de conditions/règles qui déterminent si un
compte de stockage en cours de déploiement
se trouve dans un ensemble de tailles de
référence (SKU). Son effet consiste à refuser
tous les comptes de stockage dont la taille ne
fait pas partie de l’ensemble de tailles de
références définies.

Type de ressource autorisé Cette définition de stratégie comporte un

ensemble de conditions/règles qui
permettent de spécifier les types de ressource
que votre organisation peut déployer. Son
effet consiste à refuser toutes les ressources
qui ne font pas partie de cette liste définie.

Emplacements autorisés Cette stratégie vous permet de restreindre les

emplacements que votre organisation peut
spécifier durant le déploiement de ressources.
Son effet permet d’appliquer vos exigences
de conformité géographique.

Références SKU de machine virtuelle Cette stratégie permet de spécifier un

autorisées ensemble de références de machine virtuelle
que votre organisation peut déployer.

Types de ressource non autorisés Empêche le déploiement d’une liste de types

de ressource.

La définition de stratégie elle-même est représentée sous la forme d’un fichier JSON.
Vous pouvez utiliser l’une des définitions prédéfinies du portail ou créer la vôtre (en
modifiant une définition existante ou en partant de zéro). Il existe des centaines

3 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

d’exemples disponibles sur GitHub.

Voici un exemple de stratégie de calcul qui autorise seulement des tailles de machine
virtuelle spécifiques :

JSON ＝ Copier

{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"not": {
"field": "Microsoft.Compute/virtualMachines/sku.name",
"in": "[parameters('listOfAllowedSKUs')]"
}
}
]
},
"then": {
"effect": "Deny"
}
}

Notez la valeur de [parameters('listofAllowedSKUs')]  ; il s’agit d’un jeton de

remplacement qui est rempli quand la définition de la stratégie est appliquée à une
étendue. Quand un paramètre est défini, un nom lui est affecté et éventuellement
une valeur.

Application de la stratégie Azure

Pour appliquer une stratégie, nous pouvons utiliser le portail Azure ou l’un des outils
en ligne de commande tels qu’Azure PowerShell, en ajoutant l’extension
Microsoft.PolicyInsights .

PowerShell ＝ Copier

# Register the resource provider if it's not already registered

Register-AzResourceProvider -ProviderNamespace
'Microsoft.PolicyInsights'

4 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

Une fois que nous avons inscrit le fournisseur, nous pouvons créer une affectation de
stratégie. Par exemple, voici une définition de stratégie qui identifie les machines
virtuelles n’utilisant pas de disques managés.

PowerShell ＝ Copier

# Get a reference to the resource group that will be the scope of

the assignment
$rg = Get-AzResourceGroup -Name '<resourceGroupName>'

# Get a reference to the built-in policy definition that will be

assigned
$definition = Get-AzPolicyDefinition | Where-Object {
$_.Properties.DisplayName -eq 'Audit VMs that do not use managed
disks' }

# Create the policy assignment with the built-in definition against

your resource group
New-AzPolicyAssignment -Name 'audit-vm-manageddisks' -DisplayName
'Audit VMs without managed disks Assignment' -Scope $rg.ResourceId
-PolicyDefinition $definition

Les commandes précédentes utilisent les informations suivantes :

Paramètre Description

Name Nom réel de l’affectation. Pour cet exemple, audit-vm-manageddisks a

été utilisé.

DisplayName Nom d’affichage de l’affectation de stratégie. Dans le cas présent, vous

utilisez des machines virtuelles d’audit sans affectation de disques
managés.

Definition Définition de stratégie que vous utilisez pour créer l’affectation. Dans le
cas présent, il s’agit de l’ID de la définition de stratégie Auditer les
machines virtuelles qui n’utilisent pas de disques managés.

Étendue Une étendue détermine les ressources ou le regroupement de

ressources auxquelles l’affectation de stratégie est appliquée. Cela peut
aller d’un abonnement à des groupes de ressources. Veillez à remplacer
<scope> par le nom de votre groupe de ressources.

Identification des ressources non conformes

5 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

Nous pouvons utiliser la définition de stratégie appliquée pour identifier les

ressources non conformes à l’affectation de stratégie via le portail Azure.

Les résultats correspondent à ce que vous voyez sous l’onglet Conformité des
ressources d’une affectation de stratégie dans le portail Azure :

Nous pouvons aussi utiliser à nouveau les outils en ligne de commande pour
identifier les ressources de votre groupe de ressources qui ne sont pas conformes à
l’affectation de stratégie.

PowerShell ＝ Copier

Get-AzPolicyState -ResourceGroupName $rg.ResourceGroupName

-PolicyAssignmentName 'audit-vm-manageddisks' -Filter 'IsCompliant
eq false'

Voici un exemple de sortie que nous pouvons obtenir :

output ＝ Copier

Timestamp : 3/9/19 9:21:29 PM

ResourceId : /subscriptions/{subscriptionId}/re‐
sourcegroups/{resourceGroupName}/providers/Microsoft.Compute
/virtualMachines/{vmId}
PolicyAssignmentId : /subscriptions/{subscriptionId}/pro‐
viders/microsoft.authorization/policyassignments/audit-vm-
manageddisks
PolicyDefinitionId : /providers/Microsoft.Authorization
/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d
IsCompliant : False
SubscriptionId : {subscriptionId}
ResourceType : /Microsoft.Compute/virtualMachines
ResourceTags : tbd
PolicyAssignmentName : audit-vm-manageddisks

6 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

PolicyAssignmentOwner : tbd
PolicyAssignmentScope : /subscriptions/{subscriptionId}
PolicyDefinitionName : 06a78e20-9358-41c9-923c-fb736d382a4d
PolicyDefinitionAction : audit
PolicyDefinitionCategory : Compute
ManagementGroupIds : {managementGroupId}

Affecter une définition à une étendue de ressources

Une fois que vous avez défini une ou plusieurs définitions de stratégie, vous devez
les attribuer. Une attribution de stratégie est une définition de stratégie affectée à
une étendue spécifique.

Cette étendue peut aller d’un abonnement complet à un groupe de ressources.

Toutes les ressources enfants héritent des affectations de stratégie. Cet héritage
signifie que si une stratégie est appliquée à un groupe de ressources, elle l’est à
toutes les ressources de ce groupe. Vous pouvez cependant exclure une sous-
étendue de l’affectation de stratégie. Par exemple, nous pouvons appliquer une
stratégie pour un abonnement entier, puis exclure quelques groupes de ressources
spécifiques.

Vous pouvez affecter ces stratégies via le portail Azure, PowerShell ou Azure CLI.
Quand vous affectez une définition de stratégie, vous devez fournir les paramètres
définis.

7 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

Effets de la stratégie

Les demandes de création ou de mise à jour d’une ressource via Azure Resource
Manager sont d’abord évaluées par Azure Policy. Policy crée une liste de toutes les
attributions qui s’appliquent à la ressource, puis évalue la ressource en fonction de
chaque définition. Policy traite plusieurs effets avant de transmettre la demande au
fournisseur de ressources approprié pour éviter tout traitement inutile si la ressource
enfreint la stratégie.

Chaque définition de stratégie dans Azure Policy a un seul effet. Cet effet détermine
ce qu’il se passe quand la règle de stratégie associée est mise en correspondance.
Dans ce cas, Azure Policy entreprend une action spécifique en fonction de l’effet
attribué.

Effet de Policy Ce qu’il se passe ?

Deny Échec de la création/mise à jour de la ressource en raison de la

stratégie.

Disabled La règle de stratégie est ignorée (désactivée). Utilisation fréquente à

des fins de test.

Append Ajoute des paramètres/champs supplémentaires à la ressource

demandée durant la création ou la mise à jour. Un exemple courant
consiste à ajouter des étiquettes sur des ressources, par exemple
Centre de coûts, ou à spécifier les adresses IP autorisées pour une
ressource de stockage.

Audit, Crée un événement d’avertissement dans le journal d’activité durant

AuditIfNotExists l’évaluation d’une ressource non conforme, mais cela n’arrête pas la
requête.

DeployIfNotExists Exécute un déploiement de modèle quand une condition spécifique

est remplie. Par exemple, si le chiffrement SQL est activé sur une
base de données, un modèle peut être exécuté après la création de
la base de données pour que cette dernière soit configurée de
manière spécifique.

Voir les résultats de l’évaluation de stratégie

Azure Policy peut autoriser la création d’une ressource même en cas d’échec de sa

8 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

validation. Dans ce cas, vous pouvez lui indiquer de déclencher un événement d’audit
visible dans le portail Azure Policy ou via des outils en ligne de commande.
L’approche la plus simple consiste à utiliser le portail, car il offre une vue d’ensemble
graphique que vous pouvez explorer. Vous pouvez trouver la section Azure Policy via
le champ de recherche ou Tous les services.

À partir de cet écran, vous pouvez identifier les ressources non conformes et
entreprendre des actions pour les corriger.

Suppression d’une définition de stratégie

Enfin, vous pouvez supprimer les exigences relatives à une stratégie via le portail ou
via la commande PowerShell Remove-AzPolicyAssignment , comme indiqué ci-
dessous.

PowerShell ＝ Copier

Remove-AzPolicyAssignment -Name 'audit-vm-manageddisks' -Scope

'/subscriptions/<subscriptionID>/resourceGroups
/<resourceGroupName>'

Unité suivante: Organiser une stratégie avec des initiatives

9 sur 10 21/04/2020 à 23:04

Définir la conformité informatique avec Azure Policy... https://docs.microsoft.com/fr-fr/learn/modules/intro-...

Continuer Ｔ

10 sur 10 21/04/2020 à 23:04