Azure Policy: establece tus reglas del juego

Cuando estás trabajando con la nube en varios departamentos de una compañía es comprensible que cada uno tenga una forma diferente de gestionar y trabajar con sus recursos. Sin embargo, siempre es importante establecer una serie de reglas sobre qué se puede hacer y cómo se puede hacer. En este artículo voy a hablarte del servicio Azure Policy, el cual te ayudará a crear y administrar directivas sobre Microsoft Azure.

¿Qué es una política?

Una política no es más que una regla que podemos asignar a un conjunto de recursos o incluso a nivel de suscripción. Lo que conseguimos es identificar de forma rápida todos aquellos recursos que no cumplen con la misma y además evitará que se generen otros nuevos que vayan en contra de lo establecido.

Cómo crear una política

En el portal de Azure haz clic en la opción All services y busca Policy. Si haces clic en la estrella que aparece junto al nombre harás que este servicio aparezca en el menú de la izquierda.

En el apartado Overview del servicio podrás ver todas las políticas que tienes asociadas para una o varias suscripciones y el estado de las mismas.

Azure Policy - Overview
Azure Policy – Overview

En mi caso, puedes ver que solo una de ellas está siendo cumplida al cien por cien, que es “Audit VMs that do not use managed disks”, es decir que todas mis máquinas están usando discos manejados a día de hoy. Sin embargo, he asignado otra totalmente diferente, asociada con el etiquetado, que no es cumplida por ninguno de los grupos de recursos de la suscripción seleccionada.

Para asignar una nueva basta con ir al apartado de Assignments y hacer clic en Assign policy.

Azure Policy - Assign policy
Azure Policy – Assign policy

Una vez allí tendrás que especificar varios campos:

Azure Policy – Assign Policy – Allowed locations
  • Scope: es el nivel al que va a afectar la política.
  • Exclusions: nos permite elegir qué recursos se libran de cumplirla.
  • Policy definition: en este campo debemos elegir la política que queramos. Estas pueden ser predefinidas o incluso podríamos crear las nuestras propias en el apartado Definitions. Para este ejemplo he elegido la llamada Allowed locations, la cual nos permite elegir en qué regiones de Microsoft Azure permitimos el despliegue de recursos.
  • Assignment name: este campo se rellenará de manera automática con el nombre de la política elegida pero es posible modificarlo.
  • Description: campo de texto libre para añadir una descripción.
  • Assigned by: Es un campo editable y es posible añadir el valor que se quiera. Por defecto se establece el nombre y apellidos de la persona que está dando de alta la política.
  • Allowed Locations: en muchas de las definiciones es necesario especificar una serie de parámetros. En el caso de esta es necesario indicar cuáles son las localizaciones permitidas.
  • Create a managed identity: si hubiera que desplegar algún tipo de recurso tendríamos que crear una managed identity. Si no sabes lo que es te recomiendo que le eches un vistazo a este artículo.

Una vez hagas clic en el botón Assign la nueva política se asignará al scope indicado y esta permanecerá en el estado No started durante algunos minutos.

Azure Policy - Las nuevas politicas aparecen como No started
Azure Policy – Las nuevas politicas aparecen como No started

Una vez que se haya hecho un primer análisis de tus recursos, esta cambiará a Compliance o Not Compliance, y podrás ver en cuáles de los recursos ya creados no están cumpliendo la regla establecida, haciendo clic sobre ella.

Del mismo modo, si cambias el valor del combo a Compliant podrás ver los que sí.

Además, si pruebas a crear un recurso en una localización diferente a las permitidas. Comprobarás que al intentarlo la política denegará la creación.

Azure Policy - prohibido crear un recurso debido a la política Allowed locations
Azure Policy – prohibido crear un recurso debido a la política Allowed locations

¡Saludos!