23、Azure 治理服务：策略、蓝图与框架的全面解析

Azure 治理服务：策略、蓝图与框架的全面解析

1. Azure Policy 概述

Azure Policy 是一套用于资源创建和管理的规则，可跨多个订阅应用。它定义了订阅内允许的操作，并评估资源以确保符合合规标准，或强制执行组织规定，还能通过自动化修复不合规情况。

例如，Azure Policy 可限制资源创建的访问区域，以确保数据主权合规；也能限制虚拟机类型或存储类型，避免创建昂贵或操作效率低下的资源。

Azure Policy 与 Azure RBAC 的关键区别如下：
| 对比项 | Azure Policy | Azure RBAC |
| — | — | — |
| 控制对象 | 控制可执行的操作（与用户无关） | 控制谁可以执行什么操作（针对每个用户） |
| 关注重点 | 关注资源属性 | 关注用户操作 |
| 应用范围 | 应用于资源 | 应用于每个操作 |
| 操作类型 | 无 | 创建、读取、更新和删除 |
| 角色类型 | 无 | 内置和自定义角色 |
| 默认规则 | 无 | 默认拒绝，显式允许 |

例如，在 Azure Policy 中，即使你是资源组的贡献者，策略也可能阻止你在 WestUS 部署虚拟机，或者不允许部署 DS12v2 但允许部署 DS4_v2。而在 Azure RBAC 中，你可能在开发/测试订阅的资源组中拥有贡献者权限，但在生产订阅中仅拥有虚拟机管理员权限。

策略通过策略定义以 JavaScript 对象表示法（JSON）格式描述，这些规则可分组形成策略计划（或策略集）。策略定义分配到资源级范围，并通过策略分配