Was ist Azure Policy?
Azure Policy wertet Azure-Ressourcen gegen Regeln aus und erzwingt Organisationsstandards:
- Ressourcen ohne Pflicht-Tags ablehnen
- Nur bestimmte VM-Größen erlauben
- HTTPS erzwingen
- Backups für alle VMs sicherstellen
- Nur deutsche Rechenzentren erlauben (DSGVO)
Built-in Policies
Azure bietet hunderte vorgefertigte Policies:
# Built-in Policies auflisten
az policy definition list --query "[?policyType=='BuiltIn']" -o table | head -20
# Spezifische Policy suchen
az policy definition list \
--query "[?contains(displayName,'tag')]" \
-o table
Policy zuweisen
Nur Deutschland-Regionen erlauben
az policy assignment create \
--name "Allowed-Locations-Germany" \
--display-name "Nur Deutschland-Regionen erlaubt" \
--policy "e56962a6-4747-49cd-b67b-bf8b01975c4f" \
--scope /subscriptions/<SUBSCRIPTION_ID> \
--params '{"listOfAllowedLocations": {"value": ["germanywestcentral", "germanynorth"]}}'
Pflicht-Tags erzwingen
# Custom Policy: CostCenter-Tag Pflicht
cat > tag-policy.json << 'EOF'
{
"mode": "Indexed",
"policyRule": {
"if": {
"field": "tags['CostCenter']",
"exists": "false"
},
"then": {
"effect": "Deny"
}
}
}
EOF
az policy definition create \
--name "Require-CostCenter-Tag" \
--display-name "CostCenter Tag Pflicht" \
--rules tag-policy.json \
--mode Indexed
az policy assignment create \
--name "enforce-costcenter-tag" \
--policy "Require-CostCenter-Tag" \
--scope /subscriptions/<ID>/resourceGroups/rg-firma-prod
VM-Größen einschränken
az policy assignment create \
--name "Allowed-VM-SKUs" \
--policy "cccc23c7-8427-4f53-ad12-b6a63eb452b3" \
--scope /subscriptions/<ID> \
--params '{
"listOfAllowedSKUs": {
"value": [
"Standard_B2s",
"Standard_B4ms",
"Standard_D2s_v5",
"Standard_D4s_v5"
]
}
}'
Policy Initiative (mehrere Policies bündeln)
# Initiative erstellen
cat > initiative.json << 'EOF'
[
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/...",
"parameters": {}
}
]
EOF
az policy set-definition create \
--name "firma-baseline-security" \
--display-name "Firma Baseline Security" \
--definitions initiative.json
Compliance-Report
# Compliance-Status einer Zuweisung
az policy state summarize \
--policy-assignment "Allowed-Locations-Germany"
# Nicht-konforme Ressourcen
az policy state list \
--filter "complianceState eq 'NonCompliant'" \
-o table
Policy-Effekte
| Effekt | Beschreibung |
|---|---|
| Deny | Ressource ablehnen |
| Audit | Compliance prüfen, nicht blockieren |
| Append | Fehlende Eigenschaften hinzufügen |
| DeployIfNotExists | Fehlende Ressource erstellen |
| AuditIfNotExists | Abwesenheit auditieren |
| Modify | Eigenschaften bei Create/Update ändern |
FAQ
Kann Azure Policy bestehende nicht-konforme Ressourcen reparieren?
Mit Remediation Tasks für Policies mit DeployIfNotExists oder Modify-Effekt: Ja. Automatische Remediierung für bestehende Ressourcen aktivieren.
Wie teste ich Policies vor der Zuweisung?
Mit Effekt Audit statt Deny – Policy wird geprüft aber nicht erzwungen. Nach Validierung auf Deny wechseln.
Fazit
Azure Policy ist das Governance-Werkzeug für professionelle Azure-Umgebungen. Pflicht-Tags, Region-Einschränkungen und Security-Baselines verhindern Fehlkonfigurationen systematisch.
Azure Governance für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.