Manage Governance via Azure Policy - Lab AZ-104

📋 Visão Geral

Neste lab, você aprenderá a usar Azure Policy para impor governança em seus recursos, gerenciar tags e configurar resource locks.

Criar e atribuir tags a recursos
Impor tagging via Azure Policy
Aplicar herança de tags
Configurar resource locks

✅ Pré-requisitos

Uma subscrição Azure ativa
Permissões de Contributor ou superior

🏷️ Task 1: Criar e Atribuir Tags

Nesta tarefa, você criará tags para organizar seus recursos Azure.

1

No Portal Azure, pesquise Resource groups e crie o grupo az104-rg2 (se ainda não existir).

2

Selecione o resource group e clique em Tags no menu lateral.

3

Adicione a seguinte tag:

Name	Value
`Cost Center`	`000`

4

Clique em Apply para salvar a tag.

💡 Dica: Tags são pares chave-valor que ajudam a organizar, rastrear custos e gerenciar recursos Azure de forma eficiente.

📜 Task 2: Enforce Tagging via Azure Policy

Nesta tarefa, você atribuirá a política "Require a tag and its value on resources" para impor tagging obrigatória.

1

Pesquise e selecione Policy no Portal Azure.

2

Na seção Authoring, selecione Assignments → Assign policy.

3

Configure o Scope para o resource group az104-rg2.

4

Em Policy definition, pesquise "Require a tag and its value on resources".

Configuração	Valor
Tag Name	`Role`
Tag Value	`Infra`

5

Clique em Review + create e depois em Create.

6

Teste: Tente criar uma Storage account em az104-rg2 sem a tag Role — a criação deve falhar.

⚠️ Nota: A política pode levar de 5 a 15 minutos para ser aplicada. Se o teste passar, aguarde e tente novamente.

🔄 Task 3: Aplicar Herança de Tags via Policy

Nesta tarefa, você configurará a política para herdar automaticamente tags do resource group.

1

Em Policy → Assignments, clique em Assign policy.

2

Configure o Scope para az104-rg2.

3

Pesquise a política "Inherit a tag from the resource group if missing".

4

Configure Tag Name como Cost Center.

5

Na aba Remediation, marque Create a Managed Identity e selecione a região.

6

Clique em Review + create e Create.

7

Teste: Crie uma Storage account em az104-rg2 com a tag Role: Infra — verifique que a tag Cost Center foi herdada automaticamente.

🔒 Task 4: Configurar e Testar Resource Locks

Nesta tarefa, você configurará resource locks para proteger recursos contra exclusão acidental.

1

Navegue ao resource group az104-rg2 e selecione Settings → Locks.

2

Adicione um lock:

Configuração	Valor
Lock name	`rg-lock`
Lock type	Delete

3

Teste Delete: Tente deletar a storage account — deve falhar por causa do lock.

4

Altere o lock type para Read-only.

5

Teste Read-only: Tente criar outra storage account em az104-rg2 — deve falhar.

🎯 Tipos de Lock

Delete Lock

Permite ler e modificar, mas impede exclusão

ReadOnly Lock

Permite apenas leitura — impede modificação e exclusão

🧹 Limpeza

Remova os recursos criados:

1

Remova o lock do resource group az104-rg2.

2

Remova as policy assignments criadas.

3

Delete o resource group az104-rg2.

Lab 02b: Gerenciar Governança via Azure Policy