Laboratório Técnico: Implement and manage Azure Policy

Questões

Questão 1 — Múltipla Escolha

Uma equipe de governança precisa garantir que todos os recursos criados em uma assinatura recebam automaticamente a tag CostCenter com um valor padrão quando o usuário não a informar explicitamente. A equipe não quer bloquear a criação de recursos sem a tag; quer apenas que o valor padrão seja aplicado silenciosamente.

Qual efeito de política do Azure Policy atende a esse requisito?

A) Deny B) Audit C) Modify D) Append

Questão 2 — Cenário Técnico

Um administrador atribuiu a seguinte política ao escopo de uma assinatura:

{
  "if": {
    "field": "type",
    "equals": "Microsoft.Compute/virtualMachines"
  },
  "then": {
    "effect": "DeployIfNotExists",
    "details": {
      "type": "Microsoft.Compute/virtualMachines/extensions",
      "roleDefinitionIds": [
        "/providers/Microsoft.Authorization/roleDefinitions/<GUID>"
      ]
    }
  }
}

Após a atribuição, o administrador percebe que VMs existentes não estão recebendo a extensão, embora VMs novas a recebam corretamente.

Qual é a causa mais provável desse comportamento?

A) O efeito DeployIfNotExists nunca se aplica a recursos já existentes; é necessário trocar pelo efeito Modify. B) A tarefa de remediação não foi criada; recursos existentes exigem uma remediation task explícita para serem corrigidos. C) A política precisa ser atribuída no escopo do grupo de recursos onde as VMs residem, não na assinatura. D) O roleDefinitionIds está incompleto e impede que o mecanismo de avaliação processe recursos pré-existentes.

Questão 3 — Verdadeiro ou Falso

Um recurso que está em estado de não conformidade com uma política de efeito Audit é bloqueado automaticamente após 24 horas sem correção, até que o administrador o remedie manualmente.

Verdadeiro ou Falso?

Questão 4 — Múltipla Escolha

Uma organização precisa aplicar um conjunto coeso de políticas que impeça a criação de recursos fora das regiões brazilsouth e eastus, além de exigir SKUs específicas para contas de armazenamento. Essas regras devem ser atribuídas juntas, como uma unidade, a múltiplos grupos de recursos.

Qual é a abordagem mais adequada no Azure Policy?

A) Criar uma iniciativa (policy set definition) contendo as duas políticas e atribuí-la aos grupos de recursos. B) Atribuir cada política individualmente a cada grupo de recursos, repetindo o processo para manter consistência. C) Criar uma política personalizada com múltiplas condições combinadas em um único bloco if usando operadores lógicos. D) Usar Azure Blueprints exclusivamente, pois políticas individuais não podem ser agrupadas sem esse recurso.

Questão 5 — Cenário Técnico

Uma equipe de segurança criou e atribuiu uma política com efeito Deny para impedir a criação de contas de armazenamento com acesso público habilitado. Durante um teste, um desenvolvedor tenta criar a conta com o seguinte comando e recebe um erro de rejeição:

az storage account create \
  --name storageteste01 \
  --resource-group rg-dev \
  --location brazilsouth \
  --allow-blob-public-access true

O desenvolvedor argumenta que a política não deveria se aplicar porque a atribuição foi feita no grupo de recursos rg-prod, e ele está criando o recurso em rg-dev. No entanto, o recurso continua sendo bloqueado.

Qual é a explicação correta para o bloqueio?

A) O efeito Deny ignora o escopo de atribuição e se aplica globalmente a toda a assinatura por padrão. B) A política foi atribuída em um escopo pai mais amplo, como a assinatura ou um grupo de gerenciamento, que abrange rg-dev. C) O parâmetro --allow-blob-public-access true aciona automaticamente uma política interna da Microsoft independente da atribuição. D) O comando az storage account create sempre verifica políticas de todos os grupos de recursos da assinatura antes de executar.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: C

O efeito Modify permite adicionar, substituir ou remover tags e propriedades em recursos durante a criação ou atualização, sem bloquear a operação. É o efeito correto para aplicar um valor padrão silenciosamente.

O efeito Append pode parecer equivalente, mas sua semântica é diferente: ele acrescenta campos a propriedades de array ou objetos, como regras de IP em um NSG, e não é projetado para gerenciamento de tags da forma que Modify faz. Escolher Append resultaria em comportamento inconsistente ou erro dependendo do campo-alvo.

Deny bloquearia a criação, contrariando o requisito. Audit apenas registra a não conformidade sem agir.

Gabarito — Questão 2

Resposta: B

O efeito DeployIfNotExists é avaliado e executado automaticamente para recursos novos durante a criação. Para recursos já existentes no momento da atribuição da política, o Azure Policy não os corrige automaticamente: é necessário criar uma remediation task explícita no portal, via CLI ou via API.

A alternativa A está incorreta porque DeployIfNotExists pode sim atuar em recursos existentes, desde que a remediação seja acionada. A alternativa C confunde escopo de atribuição com cobertura do efeito. A alternativa D é um distrator técnico plausível, mas o roleDefinitionIds ausente ou incorreto impediria a execução da implantação, não a avaliação da conformidade de recursos existentes.

Gabarito — Questão 3

Resposta: Falso

O efeito Audit nunca bloqueia nem altera recursos. Seu único comportamento é registrar um evento no log de atividades e marcar o recurso como não conforme no painel de conformidade do Azure Policy. Nenhuma ação automática de bloqueio é tomada em nenhum prazo.

Essa distinção é fundamental: Audit é um efeito de visibilidade e rastreamento, não de controle. Confundir Audit com Deny é um dos erros mais comuns em cenários de governança, e pode levar uma equipe a acreditar erroneamente que está protegida quando está apenas observando.

Gabarito — Questão 4

Resposta: A

Uma iniciativa (policy set definition) é exatamente o mecanismo do Azure Policy para agrupar múltiplas políticas em uma unidade coesa que pode ser atribuída uma única vez a um escopo. Isso simplifica o gerenciamento, o rastreamento de conformidade e a manutenção.

A alternativa B é operacionalmente viável, mas não é a abordagem recomendada: atribuições individuais multiplicadas por grupos de recursos criam complexidade desnecessária e risco de divergência. A alternativa C mistura lógica de avaliação dentro de uma única definição de política, o que não resolve o requisito de atribuição conjunta como unidade. A alternativa D é incorreta: Azure Blueprints podem incluir políticas, mas não são um pré-requisito para agrupamento; iniciativas existem exatamente para esse fim dentro do próprio Azure Policy.

Gabarito — Questão 5

Resposta: B

O Azure Policy respeita hierarquia de escopos: uma política atribuída em um escopo pai, como uma assinatura ou grupo de gerenciamento, se aplica a todos os escopos filhos, incluindo todos os grupos de recursos daquela assinatura. O desenvolvedor assumiu incorretamente que a atribuição em rg-prod se limitaria a esse grupo de recursos, mas a atribuição pode ter sido feita na assinatura inteira.

A alternativa A descreve um comportamento que não existe: o efeito Deny respeita rigorosamente o escopo definido na atribuição. A alternativa C inventa um mecanismo que não existe no Azure. A alternativa D descreve um comportamento fictício do CLI. A chave do raciocínio correto é entender que o bloqueio ocorre porque o escopo real da atribuição é mais amplo do que o desenvolvedor presumiu.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Múltipla Escolha​

Questão 5 — Cenário Técnico​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​