Desafio 20: Governança — Azure Policy, Purview e Resource Locks
25-35 min | Custo: Gratuito | Domínio: Management & Governance (30-35%)
Habilidades do exame cobertas
- Descrever o propósito do Microsoft Purview
- Descrever o propósito do Azure Policy
- Descrever o propósito de resource locks
Visão Geral
Governança garante que seu ambiente Azure permaneça em conformidade, organizado e protegido. Azure Policy impõe regras sobre o que pode ser criado e como. Resource locks previnem exclusão ou modificação acidental. Microsoft Purview fornece governança de dados em todo o seu patrimônio digital.
Explorar
Tarefa 1: Entender o Azure Policy
Azure Policy impõe padrões organizacionais. Políticas avaliam recursos e marcam os não conformes.
| Tipo de política | O que faz | Exemplo |
|---|---|---|
| Deny | Impedir criação de recurso não conforme | "VMs devem estar apenas em regiões permitidas" |
| Audit | Sinalizar recursos existentes não conformes | "Storage accounts sem criptografia" |
| Append | Adicionar campos obrigatórios automaticamente | "Adicionar automaticamente tags obrigatórias" |
| Modify | Alterar propriedades de recursos | "Habilitar log de diagnóstico" |
Tarefa 2: Explorar o Azure Policy no Portal
- No Azure Portal, pesquise por Policy
- Explore:
- Overview: Status de conformidade em todo o seu ambiente
- Definitions: Navegue pelas políticas embutidas
- Assignments: Veja o que está atribuído
- Clique em Definitions e navegue pelas categorias:
- Compute, Storage, Network, Security Center, Tags
- Tente pesquisar: "Allowed locations" — esta política popular restringe onde recursos podem ser criados
Policy vs RBAC:
| Azure Policy | Azure RBAC | |
|---|---|---|
| Pergunta respondida | "O que pode ser criado?" | "Quem pode fazer o quê?" |
| Foco | Conformidade de recursos | Permissões de usuários |
| Exemplo | "Apenas VMs Standard_D2s permitidas" | "Alice pode criar VMs" |
Tarefa 3: Entender resource locks
Resource locks previnem alterações ou exclusão acidental:
| Tipo de lock | Pode ler? | Pode modificar? | Pode excluir? |
|---|---|---|---|
| Sem lock | ✅ | ✅ | ✅ |
| ReadOnly | ✅ | ❌ | ❌ |
| CanNotDelete | ✅ | ✅ | ❌ |
Fatos importantes:
- Locks são herdados (lock no RG se aplica a todos os recursos)
- Mesmo Owners não podem excluir um recurso bloqueado sem remover o lock primeiro
- Locks substituem permissões RBAC
Tarefa 4: Explorar resource locks no Portal
- Navegue até o seu grupo de recursos
rg-az900-learning(ou qualquer RG) - Clique em Locks no menu à esquerda
- Clique em + Add para ver as opções de lock:
- Nome do lock, Tipo de lock (Read-only ou Delete)
- Notas explicando por que o lock existe
- Opcionalmente adicione um lock CanNotDelete ao seu grupo de recursos
- Tente excluir o RG — você será bloqueado!
Tarefa 5: Entender o Microsoft Purview
Microsoft Purview fornece governança de dados unificada:
| Recurso | Descrição |
|---|---|
| Data Map | Descoberta e classificação automatizada de dados no Azure, on-premises e multi-cloud |
| Data Catalog | Pesquisar e descobrir ativos de dados |
| Data Estate Insights | Análises sobre distribuição e sensibilidade de dados |
| Data sharing | Compartilhar dados com segurança entre organizações |
Quando usar Purview:
- Você precisa saber ONDE seus dados sensíveis estão
- Você precisa classificar dados (PII, financeiro, saúde)
- Você precisa de relatórios de conformidade em vários armazenamentos de dados
- Você precisa de uma visão unificada do seu panorama de dados
# List Azure Policy definitions (first 5)
az policy definition list --query "[0:5].{Name:displayName, Category:metadata.category}" --output table
# List policy assignments
az policy assignment list --output table
# Add a resource lock
az lock create --name DoNotDelete --resource-group rg-az900-learning --lock-type CanNotDelete 2>/dev/null || echo "Create the RG first"
# List locks
az lock list --resource-group rg-az900-learning --output table 2>/dev/null || echo "No RG found"
Conceitos-Chave
| Conceito | Descrição |
|---|---|
| Azure Policy | Impor regras sobre criação e conformidade de recursos |
| Policy initiative | Grupo de políticas relacionadas aplicadas em conjunto |
| Resource lock | Prevenir exclusão ou modificação acidental |
| CanNotDelete lock | Recursos podem ser modificados mas não excluídos |
| ReadOnly lock | Recursos podem apenas ser lidos — nenhuma alteração permitida |
| Microsoft Purview | Governança, descoberta e classificação unificada de dados |
| Compliance | Porcentagem de recursos que atendem aos requisitos de política |
Verificação de Conhecimento
1. Uma empresa quer garantir que todos os recursos Azure sejam criados apenas em regiões específicas. Qual serviço deve ser usado?
2. Um banco de dados de produção deve ser protegido contra exclusão acidental. O que deve ser aplicado?
3. Qual é o propósito do Microsoft Purview?
4. Um Owner de um grupo de recursos tenta excluí-lo mas recebe um erro. Qual é a causa mais provável?
5. Qual é a diferença entre Azure Policy e Azure RBAC?
Saiba Mais
- 📚 Study Guide AZ-900 — Materiais de estudo selecionados
- Microsoft Learn: Describe features and tools for governance
- Azure Policy documentation
- Microsoft Purview documentation