3. कस्टम पॉलिसी निर्दिष्ट करना

{ "मोड": "अनुक्रमित", "नीतिनियम": { "अगर": { "सभी": [ { "फ़ील्ड": "प्रकार", "बराबर": "Microsoft.Resources/subscriptions/resourceGroups" }, { "फ़ील्ड": "टैग['पर्यावरण']", "मौजूद है": "झूठा" } ] }, "तब": { "प्रभाव": "इनकार करें" } } } ```

    * **स्पष्टीकरण**: यह नीति जांच करती है कि संसाधन एक संसाधन समूह है (`Microsoft.Resources/subscriptions/resourceGroups`) और `पर्यावरण` टैग मौजूद नहीं है (`मौजूद: गलत`)। यदि दोनों स्थितियाँ सत्य हैं, तो 'अस्वीकार करें' प्रभाव संसाधन समूह को बनने या अद्यतन होने से रोकता है।
  1. सहेजें पर क्लिक करें।

3. कस्टम पॉलिसी निर्दिष्ट करना

अब, आइए हमारे द्वारा अभी बनाई गई नीति को एक विशिष्ट संसाधन समूह को सौंपें।

  1. नीति सेवा के बाएँ नेविगेशन फलक में, सृजन के अंतर्गत, असाइनमेंट चुनें।

  2. + नीति असाइन करें पर क्लिक करें।

  3. बुनियादी बातें:

    • दायरा: तीन बिंदुओं (...) पर क्लिक करें और सदस्यता और संसाधन समूह का चयन करें जहां आप नीति लागू करना चाहते हैं (उदाहरण के लिए मेरा-संसाधन-समूह)।
    • नीति परिभाषा: तीन बिंदुओं (...) पर क्लिक करें और आपके द्वारा बनाई गई नीति देखें (संसाधन समूहों पर पर्यावरण टैग की आवश्यकता)। इसे चुनें.
    • असाइनमेंट का नाम: यह स्वचालित रूप से भर जाएगा, लेकिन आप इसे बदल सकते हैं (उदा: एट्रिब्यूशन-टैग-एनवायरमेंट-आरजी)।
    • विवरण: विवरण प्रदान करें।
    • नीति प्रवर्तन: सक्षम रखें।

  4. अगला पर क्लिक करें।

  5. पैरामीटर: इस नीति के लिए कोई पैरामीटर नहीं हैं, अगला पर क्लिक करें।

  6. उपचार: DeployIfNotExists या Modify जैसे प्रभावों वाली नीतियों के लिए, आप यहां निवारण कार्यों को कॉन्फ़िगर करेंगे। 'अस्वीकार करें' के लिए, यह लागू नहीं है। अगला पर क्लिक करें।
  7. गैर-अनुरूपण संदेश: वैकल्पिक रूप से उस संदेश को अनुकूलित करें जिसे उपयोगकर्ता तब देखते हैं जब वे एक गैर-अनुरूपण संसाधन बनाने का प्रयास करते हैं। अगला पर क्लिक करें।
  8. समीक्षा करें + बनाएं: सेटिंग्स की समीक्षा करें और बनाएं पर क्लिक करें।

4. अनिवार्य टैगिंग नीति का परीक्षण

  1. Azure पोर्टल में, असाइनमेंट के दायरे में (my-resource-group) एक नया संसाधन समूह बनाने का प्रयास करें।
  2. संसाधन समूह विवरण भरते समय, 'पर्यावरण' टैग न जोड़ें।

  3. संसाधन समूह बनाने का प्रयास करें.

    • अपेक्षित परिणाम: एक त्रुटि संदेश के साथ संसाधन समूह निर्माण विफल हो जाना चाहिए जो दर्शाता है कि संसाधन समूहों पर पर्यावरण टैग की आवश्यकता है नीति ने ऑपरेशन से इनकार कर दिया क्योंकि पर्यावरण टैग गायब है।

  4. अब, एक नया संसाधन समूह बनाने का प्रयास करें और 'पर्यावरण' टैग को एक मान के साथ जोड़ें (उदाहरण: 'पर्यावरण: विकास')।

    • अपेक्षित परिणाम: संसाधन समूह निर्माण सफल होना चाहिए।

5. एक पहल बनाना (नीति सेट)

आइए सामान्य सुरक्षा नीतियों को समूहीकृत करने के लिए एक पहल करें, जैसे भंडारण खातों पर HTTPS और VM डिस्क पर एन्क्रिप्शन की आवश्यकता।

  1. नीति सेवा के बाएँ नेविगेशन फलक में, सृजन के अंतर्गत, पहल चुनें।

  2. +पहल परिभाषा पर क्लिक करें।

  3. बुनियादी बातें:

    • परिभाषा स्थान: सदस्यता या प्रबंधन समूह का चयन करें।
    • नाम: बुनियादी सुरक्षा पहल
    • विवरण: बुनियादी अनुपालन के लिए आवश्यक सुरक्षा नीतियों का सेट।
    • श्रेणी: मौजूदा का उपयोग करें चुनें और सुरक्षा चुनें।

  4. अगला पर क्लिक करें।

  5. नीतियाँ: +नीति परिभाषा जोड़ें पर क्लिक करें।

    • आंतरिक नीतियों की तलाश करें जैसे स्टोरेज खातों को केवल HTTPS का उपयोग करना चाहिए और वर्चुअल मशीन डिस्क को एन्क्रिप्ट किया जाना चाहिए
    • उन्हें चुनें और जोड़ें पर क्लिक करें।

  6. पहल पैरामीटर: यदि जोड़ी गई नीतियों में पैरामीटर हैं, तो आप उन्हें यहां कॉन्फ़िगर कर सकते हैं। अगला पर क्लिक करें।

  7. समीक्षा करें + बनाएं: सेटिंग्स की समीक्षा करें और बनाएं पर क्लिक करें।

6. पहल सौंपना

यह सुनिश्चित करने के लिए कि इसमें सभी नीतियां लागू हैं, संपूर्ण सदस्यता के लिए सुरक्षा पहल निर्दिष्ट करें।

  1. नीति सेवा के बाएँ नेविगेशन फलक में, सृजन के अंतर्गत, असाइनमेंट चुनें।

  2. + पहल असाइन करें पर क्लिक करें।

  3. बुनियादी बातें:

    • दायरा: संपूर्ण सदस्यता का चयन करें।
    • पहल: बुनियादी सुरक्षा पहल खोजें और उसका चयन करें।
    • कार्य का नाम: सेवास्वचालित रूप से भर दिया जाएगा.
    • नीति प्रवर्तन: सक्षम रखें।

  4. अगला पर क्लिक करें।

  5. पैरामीटर: पहल में परिभाषित किसी भी पैरामीटर को कॉन्फ़िगर करें। अगला पर क्लिक करें।

  6. उपचार: 'ऑडिट' नीतियों के लिए, आप गैर-अनुपालक संसाधनों को ठीक करने के लिए एक सुधार कार्य बना सकते हैं। 'अस्वीकार करें' के लिए, यह लागू नहीं है। अगला पर क्लिक करें।
  7. गैर-अनुपालन संदेश: वैकल्पिक रूप से, संदेशों को अनुकूलित करें। अगला पर क्लिक करें।
  8. समीक्षा करें + बनाएं: सेटिंग्स की समीक्षा करें और बनाएं पर क्लिक करें।

7. अनुपालन की समीक्षा करना

असाइनमेंट के बाद, Azure नीति को मौजूदा संसाधनों का मूल्यांकन करने और अनुपालन की रिपोर्ट करने में कुछ समय लगता है।

  1. नीति सेवा के बाएँ नेविगेशन फलक में, संलेखन के अंतर्गत, अनुपालन चुनें।

  2. आपको एक अनुपालन डैशबोर्ड दिखाई देगा जो आपकी नीति और पहल असाइनमेंट की समग्र अनुपालन स्थिति दिखाएगा।

  3. विवरण देखने के लिए असाइनमेंट पर क्लिक करें, जिसमें यह भी शामिल है कि कौन से संसाधन अनुपालन में हैं और कौन से नहीं। आप केवल गैर-अनुपालक संसाधनों को देखने के लिए अनुरूपता स्थिति के आधार पर फ़िल्टर कर सकते हैं।

  4. उन संसाधनों के लिए जो DeployIfNotExists या Modify नीतियों का अनुपालन नहीं करते हैं, आप इन संसाधनों को स्वचालित रूप से ठीक करने के लिए एक उपचार कार्य बना सकते हैं।

    • असाइनमेंट विवरण पृष्ठ पर, 'सुधार कार्य बनाएं' पर क्लिक करें।
    • उस नीति का चयन करें जिसका आप सुधार करना चाहते हैं और `उपचार करें' पर क्लिक करें।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • 'ऑडिट'' से शुरू करें: नई नीतियों को लागू करते समय, प्रभाव को समझने और संचालन को अवरुद्ध किए बिना गैर-अनुपालक संसाधनों की पहचान करने के लिए 'ऑडिट' प्रभाव से शुरू करें। सत्यापित करने के बाद, इसे अस्वीकार करें या संशोधित करें/DeployIfNotExists में बदलें।
  • उचित दायरा: उच्चतम संभावित दायरे (प्रबंधन समूह या सदस्यता) पर नीतियां निर्दिष्ट करें और आवश्यक होने पर निचले दायरे के लिए बहिष्करण का उपयोग करें। यह व्यापक और सुसंगत कवरेज सुनिश्चित करता है।
  • पहल का उपयोग करें: प्रबंधन को सरल बनाने और नियमों का एक पूरा सेट लागू करने को सुनिश्चित करने के लिए संबंधित नीतियों को पहल में समूहित करें।
  • नामकरण परंपराएँ: आसान पहचान और प्रबंधन के लिए नीति परिभाषाओं, पहलों और असाइनमेंट के लिए स्पष्ट और सुसंगत नामकरण परंपराओं का उपयोग करें।
  • संस्करण नियंत्रण: परिवर्तनों को ट्रैक करने, सहयोग करने और स्वचालित तैनाती की सुविधा के लिए अपनी कस्टम नीति परिभाषाओं को एक संस्करण नियंत्रण प्रणाली (जैसे Git) में संग्रहीत करें।
  • निरंतर निगरानी: Azure नीति अनुपालन डैशबोर्ड की नियमित रूप से निगरानी करें। गंभीर गैर-अनुरूपताओं के लिए अलर्ट कॉन्फ़िगर करें.
  • Azure DevOps/GitHub क्रियाओं के साथ एकीकरण: नीतियों को सुसंगत और ट्रेस करने योग्य तरीके से लागू करना सुनिश्चित करने के लिए CI/CD पाइपलाइनों का उपयोग करके नीति परिनियोजन को स्वचालित करें।
  • दस्तावेज़ीकरण: अपनी नीतियों, उनके उद्देश्यों, प्रभावों और किसी भी अपवाद का स्पष्ट दस्तावेज़ीकरण बनाए रखें।

सामान्य समस्या निवारण

  • संसाधन अनुचित तरीके से अवरुद्ध:
    • यह देखने के लिए कि किस नीति ने ऑपरेशन से इनकार किया है, Azure मॉनिटर में गतिविधि लॉग की जाँच करें। त्रुटि में आमतौर पर पॉलिसी का नाम शामिल होता है।
    • शर्तें और दायरा सही हैं यह सुनिश्चित करने के लिए नीति परिभाषा और असाइनमेंट की समीक्षा करें।
    • यदि अवरोध जानबूझकर किया गया है तो विशिष्ट संसाधन या संसाधनों के समूह के लिए बहिष्करण का उपयोग करने पर विचार करें।
  • गैर-अनुरूप संसाधन का पता नहीं लगाया जा रहा है:
    • सत्यापित करें कि नीति सही दायरे में निर्दिष्ट है और प्रवर्तन सक्षम है।
    • सुनिश्चित करें कि नीति की परिभाषा सही है और गैर-अनुरूप संसाधन के लिए स्थितियाँ 'सही' पर मूल्यांकन कर रही हैं।
    • नीति परिवर्तन लागू होने और अनुपालन रिपोर्ट अपडेट होने में 30 मिनट तक का समय लग सकता है।
  • उपचार कार्य विफल:
    • त्रुटि की पहचान करने के लिए सुधार कार्य लॉग की जाँच करें।
    • सुनिश्चित करें कि नीति भूमिका को सौंपी गई प्रबंधित पहचान के पास संसाधनों को संशोधित करने के लिए आवश्यक अनुमतियाँ हैं।
    • DeployIfNotExists या Modify नीति में परिनियोजन मॉडल या संशोधित ऑपरेशन में त्रुटि हो सकती है।
  • नीति मौजूदा संसाधनों पर लागू नहीं होती*:
    • 'अस्वीकार करें' या 'ऑडिट' प्रभाव वाली नीतियां मौजूदा और नए संसाधनों का मूल्यांकन करती हैं। DeployIfNotExists और Modify वाली नीतियों के लिए रंग सुधार कार्य की आवश्यकता होती हैमौजूदा संसाधनों को ठीक करें या केवल नई रचनाओं/अद्यतनों पर कार्य करें।
  • नीतिगत टकराव: यदि एक ही संसाधन पर कई नीतियां लागू होती हैं, तो सबसे अधिक प्रतिबंधात्मक प्रभाव वाली नीति आम तौर पर प्रभावी होती है (उदाहरण के लिए 'ऑडिट' पर 'अस्वीकार करें')। असाइनमेंट और दायरे की समीक्षा करें.

निष्कर्ष

Azure नीति प्रभावी प्रशासन स्थापित करने और Azure क्लाउड में अपने संसाधनों का अनुपालन सुनिश्चित करने वाले किसी भी संगठन के लिए एक मौलिक उपकरण है। संसाधन टैगिंग से लेकर महत्वपूर्ण सुरक्षा कॉन्फ़िगरेशन तक नियम प्रवर्तन के स्वचालन को सक्षम करके, Azure नीति जटिल, लगातार विकसित हो रहे वातावरण में व्यवस्था बनाए रखने, जोखिम कम करने और लागत को अनुकूलित करने में मदद करती है। कस्टम नीतियां बनाने और उन्हें पहलों में समूहित करने की क्षमता विशिष्ट व्यवसाय और नियामक आवश्यकताओं को पूरा करने के लिए लचीलापन प्रदान करती है। इस व्यावहारिक मार्गदर्शिका के साथ, सुरक्षा पेशेवर और आईटी प्रशासक Azure नीति को कॉन्फ़िगर करने, मान्य करने और प्रबंधित करने के लिए अच्छी तरह से सुसज्जित होंगे, एक सुरक्षित और अनुपालन क्लाउड गवर्नेंस रणनीति के लिए एक ठोस आधार तैयार करेंगे।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। एज़्योर पॉलिसी क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/overview [2] माइक्रोसॉफ्ट लर्न। ट्यूटोरियल: अनुपालन लागू करने के लिए नीतियां बनाएं और प्रबंधित करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-and-manage [3] माइक्रोसॉफ्ट लर्न। Azure RBAC में Azure नीति अनुमतियाँ। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/overview#azure-rbac-permissions-in-azure-policy [4] माइक्रोसॉफ्ट लर्न। Azure नीति परिभाषा ढाँचा। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/definition-structure [5] माइक्रोसॉफ्ट लर्न। एज़्योर नीति पहल परिभाषा ढांचा। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/concepts/initiative-definition-structure [6] माइक्रोसॉफ्ट लर्न। ट्यूटोरियल: एक कस्टम नीति परिभाषा बनाएं। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/tutorials/create-custom-policy-definition [7] माइक्रोसॉफ्ट लर्न। गैर-एज़्योर नीति अनुपालन संसाधनों का समाधान कैसे करें। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/azure/governance/policy/how-to/remediate-resources