Phoummala Schmitt
Una pregunta que me hacen a menudo es cuál es la diferencia entre la política de Azure y las iniciativas de Azure. ¿Por qué debería usar una sobre la otra? En la forma típica de TI respondo con "depende". Este blog responderá a esas preguntas revisando ambos servicios de Azure y los casos de uso de cada uno. Antes de empezar a responder a las preguntas vamos a revisar brevemente lo que hace cada servicio.
¿Qué es una política de Azure?
Azure Policy es un servicio de Azure que permite crear políticas que refuerzan y controlan las propiedades de un recurso. Cuando se utilizan estas políticas, se aplican diferentes reglas y efectos sobre sus recursos, de modo que estos recursos cumplen con sus normas de gobierno de TI.
En resumen, la política de Azure consta básicamente de 3 componentes: definición de la política, asignación y parámetros.
- La definición de políticas son las condiciones que se quieren controlar. Hay definiciones incorporadas, como el control de qué tipo de recursos pueden desplegarse o la imposición del uso de etiquetas en todos los recursos.
- La asignación de la política es el ámbito en el que la definición de la política puede tener efecto. El alcance de la asignación puede asignarse a un individuo, un recurso, un grupo de recursos o un grupo de gestión. Las asignaciones de políticas son heredadas por todos los recursos hijos.
- Los parámetros de políticas se utilizan reduciendo el número de definiciones de políticas que debe crear. Los parámetros se utilizarían para definir qué tipo de VM SKUs desplegar o definir una ubicación específica.
¿Qué es una iniciativa Azure?
Una iniciativa de Azure es una colección de definiciones de políticas de Azure que se agrupan con un objetivo o propósito específico en mente. Las iniciativas de Azure simplifican la gestión de sus políticas al agrupar un conjunto de políticas como un único elemento. Por ejemplo, puede utilizar la iniciativa incorporada PCI-DSS que tiene todas las definiciones de políticas que se centran en el cumplimiento de PCI-DSS.
Al igual que Azure Policy, las iniciativas tienen definiciones ( un conjunto de políticas ) , asignaciones y parámetros. Una vez que se determinan las definiciones que se desean, se asigna la iniciativa a un ámbito para que se pueda aplicar.
¿Cuál debo utilizar?
Depende... en ciertos escenarios, dependiendo de los requerimientos de su organización, puede ser más apropiado usar una sola política. Sin embargo, en la mayoría de los casos sería mejor, y probablemente más fácil de gestionar en el futuro, empezar a utilizar las iniciativas de Azure. De hecho, el grupo de productos recomienda el uso de iniciativas incluso para una única política, ya que una vez que se asigna/crea una iniciativa, cualquier definición de política adicional añadida a la iniciativa pasa a formar parte de la asignación, lo que simplifica la gestión de las políticas. Por ejemplo, en lugar de gestionar 20 políticas separadas para el cumplimiento de la norma PCI-DSS, sólo tendrá que gestionar la iniciativa porque todas esas políticas individuales están siendo evaluadas al mismo tiempo. Tenga en cuenta que si tiene la necesidad de hacer cumplir y evaluar SÓLO una política y no ve que se amplíe, es mejor utilizar una sola política.