Governance

Qu’est-ce qu’une Azure Policy ? Une Azure Policy est une règle de gouvernance appliquée sur des ressources Azure. Elle permet de s’assurer qu’un environnement reste conforme à des standards définis : sécurité, nommage, régions autorisées… Il y a trois notions clés à distinguer. La Policy Definition est la règle elle-même. Elle définit ce qui est évalué et l’effet déclenché en cas de non-conformité. Les effets principaux sont : Effet Comportement Audit Log la non-conformité, ne bloque pas Deny Bloque la création ou modification de la ressource DeployIfNotExists Déploie automatiquement une ressource associée si absente Modify Modifie une propriété lors de la création/mise à jour Append Ajoute des champs à la ressource L’Initiative (ou PolicySetDefinition) est un regroupement de plusieurs definitions. Plutôt que d’assigner chaque policy une par une, on les regroupe dans une initiative cohérente, par exemple une baseline sécurité ou conformité CIS. ...

Quand une Azure Policy bloque un déploiement, le message d’erreur dans Terraform ou dans le portail indique souvent l’assignment responsable, mais pas toujours le détail complet de la règle violée. Les Activity Logs Azure gardent la trace complète de chaque refus. Où chercher dans le portail Les Activity Logs sont accessibles depuis plusieurs endroits : au niveau subscription, resource group, ou directement depuis une ressource. Pour diagnostiquer un Deny policy, allez dans Activity Log. ...

Le portail Azure propose des vues de conformité pour les Azure Policies, mais elles sont limitées : pas de filtrage cross-subscription avancé, pas d’export facile, pas de combinaisons complexes de critères. Azure Resource Graph résout ça via KQL qui est le même langage que Log Analytics, appliqué aux métadonnées de vos ressources Azure. Qu’est-ce qu’Azure Resource Graph ? Azure Resource Graph est un service qui indexe toutes vos ressources Azure et leur état. Il permet d’interroger en quelques secondes l’ensemble de votre tenant, toutes subscriptions confondues et avec KQL (Kusto Query Language). ...

Par défaut, lorsqu’une Azure Policy bloque une opération, le message retourné est générique et peu exploitable. Le problème Pour illustrer cela, j’ai créé une policy très simple qui va empêcher la création d’une IP publique. { "policyRule": { "if": { "field": "type", "equals": "Microsoft.Network/publicIPAddresses" }, "then": { "effect": "Deny" } }, "versions": ["1.0.0"] } L’erreur par défaut ressemble à ceci : Resource 'test-pip' was disallowed by policy. (Code: RequestDisallowedByPolicy, Policy(s): deny-public-ip-assignment ...