Satt opp tre policies som håndhever tagging, begrenser ressurser til Norway East og kontrollerer tillatte VM-størrelser. Det som skiller et tilfeldig lab-miljø fra et gjennomtenkt ett.
Tildelte tre innebygde policies på ressursgruppe-nivå:
Require a tag (Deny): Alle nye ressurser må ha en environment-tag. Uten den blokkeres opprettelsen. Dette sikrer at ingenting havner i miljøet uten å være klassifisert.
Allowed locations (Deny): Kun Norway East er tillatt. Relevant for offentlig sektor — dataplassering er et krav under GDPR og NSMs grunnprinsipper. Gjør det umulig å ved uhell opprette ressurser i f.eks. East US.
Allowed VM sizes (Deny): Begrenser hvilke VM-størrelser som kan opprettes. Uten dette kan en bruker med Contributor-tilgang ved uhell starte en stor VM til flere tusen kroner i måneden.
Etter at tagging-policyen ble aktiv ble alle eksisterende ressurser uten tag markert som non-compliant. Brukte PowerShell til å tagge alle ressursene i ressursgruppen i ett script. Data Collection Rule støtter ikke tagging via standard API og ble tagget manuelt i portalen.
Etter tagging trigget jeg en manuell compliance-scan og verifiserte at alt var compliant.
Start-AzPolicyComplianceScan for å tvinge re-evaluering etter at ressursene er manuelt rettet.