بنية تعيين Azure Policy

تحدد تعيينات النهج الموارد التي سيتم تقييمها بواسطة تعريف نهج أو عدم الانتداب. علاوة على ذلك، يمكن لتعيين النهج تحديد قيم المعلمات لتلك المجموعة من الموارد في وقت التعيين، ما يجعل من الممكن إعادة استخدام تعريفات النهج التي تعالج نفس خصائص المورد ذات الاحتياجات المختلفة للتوافق.

يمكنك استخدام JavaScript Object Notation (JSON) لإنشاء تعيين نهج. يحتوي تعيين النهج على عناصر لـ:

• النطاق
• معرف تعريف النهج وإصداره
• اسم العرض
• الوصف
• بيانات التعريف
• محددات الموارد
• يتجاوز
• وضع الإنفاذ
• النطاقات المستبعدة
• رسائل عدم التوافق
• البارامترات
• الهوية

على سبيل المثال، يعرض JSON التالي نموذج طلب تعيين نهج في وضع DoNotEnforce مع المعلمات:

{
    "properties": {
        "displayName": "Enforce resource naming rules",
        "description": "Force resource names to begin with DeptA and end with -LC",
        "definitionVersion": "1.*.*",
        "metadata": {
            "assignedBy": "Cloud Center of Excellence"
        },
        "enforcementMode": "DoNotEnforce",
        "notScopes": [],
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
        "nonComplianceMessages": [
            {
                "message": "Resource names must start with 'DeptA' and end with '-LC'."
            }
        ],
        "parameters": {
            "prefix": {
                "value": "DeptA"
            },
            "suffix": {
                "value": "-LC"
            }
        },
        "identity": {
            "type": "SystemAssigned"
        },
        "resourceSelectors": [],
        "overrides": []
    }
}

النطاق

النطاق المستخدم لوقت إنشاء مورد التعيين هو برنامج التشغيل الأساسي لتطبيق المورد. لمزيد من المعلومات حول نطاق التعيين، راجع

فهم النطاق في نهج Azure.

معرف تعريف النهج وإصداره (معاينة)

ينبغي أن يكون هذا الحقل اسم المسار الكامل لتعريف نهج أو تعريف مبادرة. policyDefinitionId هي سلسلة وليست صفيفًا. يتم استرداد أحدث محتوى لتعريف النهج المعين أو المبادرة في كل مرة يتم فيها تقييم تعيين النهج. إذا تم تعيين نهج متعددة معًا في كثير من الأحيان، فإنه من المستحسن استخدام مبادرة بدلاً من ذلك.

بالنسبة للتعريفات والمبادرة المضمنة، يمكنك استخدام تعريفات محددة definitionVersion للتقييم عليها. بشكل افتراضي، سيتم تعيين الإصدار إلى أحدث إصدار رئيسي واستيعاب التغييرات الثانوية والتصحيحية تلقائيا.

لإجراء أي تغييرات طفيفة على التعريف تلقائيا، سيكون #.*.*رقم الإصدار هو . تمثل أحرف البدل تحديثات الإكمال التلقائي. لتثبيت مسار إصدار ثانوي، سيكون #.#.*تنسيق الإصدار . يجب أن يتم إجراء جميع تغييرات التصحيح تلقائيا لأغراض أمنية. تقتصر تغييرات التصحيح على تغييرات النص وسيناريوهات كسر الزجاج.

الاسم المعروض والوصف

يمكنك استخدام displayName وdescription لتعريف تعيين النهج وتوفير سياق لاستخدامه مع مجموعة محددة من الموارد. displayName يحتوي على حد أقصى يبلغ 128 حرفًا وdescription يحتوي على حد أقصى يبلغ 512 حرفًا.

بيانات التعريف

تخزين الخاصية الاختيارية metadata معلومات حول تعيين النهج. يمكن للعملاء تحديد أي خصائص وقيم مفيدة لمؤسستهم في metadata. ومع ذلك، هناك بعض الخصائص الشائعة المستخدمة من قبل Azure Policy. كل metadata خاصية لها حد 1024 حرفا.

خصائص بيانات التعريف الشائعة

• assignedBy (سلسلة): الاسم المألوف لمدير الأمان الذي أنشأ التعيين.
• createdBy (سلسلة): المعرّف الفريد العالمي لمدير الأمان الذي أنشأ التعيين.
• createdOn (سلسلة): تنسيق Universal ISO 8601 DateTime لوقت إنشاء التعيين.
• updatedBy (سلسلة): الاسم المألوف لمدير الأمان الذي قام بتحديث التعيين، إن وجد.
• updatedOn (سلسلة): تنسيق Universal ISO 8601 DateTime لوقت تحديث التعيين، إن وجد.

خصائص بيانات التعريف الخاصة بالسيناريو

• parameterScopes (عنصر): مجموعة من أزواج قيم المفاتيح حيث يطابق المفتاح اسم المعلمة المكوّن strongType وتحدد القيمة نطاق المورد المستخدم في المدخل لتوفير قائمة الموارد المتوفرة عن طريق مطابقة strongType. يقوم المدخل بتعيين هذه القيمة إذا كان النطاق مختلفًا عن نطاق التعيين. في حالة الضبط، يؤدي تحرير تعيين النهج في المدخل تلقائيًا إلى تعيين نطاق المعلمة إلى هذه القيمة. ومع ذلك، النطاق غير مؤمن للقيمة ويمكن تغييره إلى نطاق آخر.

  المثال parameterScopes التالي هو لمعلمة strongType المسماة backupPolicyId التي تعين نطاق تحديد المورد عند تحرير التعيين في المدخل.

  "metadata": {
      "parameterScopes": {
          "backupPolicyId": "/subscriptions/{SubscriptionID}/resourcegroups/{ResourceGroupName}"
      }
  }
  

• evidenceStorages (كائن): حساب التخزين الافتراضي الموصى به الذي يجب استخدامه للاحتفاظ بالأدلة للإثباتات على تعيينات النهج ذات manual التأثير. displayName الخاصية هي اسم حساب التخزين. evidenceStorageAccountID الخاصية هي معرف المورد لحساب التخزين. الخاصية evidenceBlobContainer هي اسم حاوية الكائن الثنائي كبير الحجم الذي تخطط لتخزين الأدلة فيه.

  {
    "properties": {
      "displayName": "A contingency plan should be in place to ensure operational continuity for each Azure subscription.",
      "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/{definitionId}",
      "metadata": {
        "evidenceStorages": [
          {
            "displayName": "Default evidence storage",
            "evidenceStorageAccountId": "/subscriptions/{subscriptionId}/resourceGroups/{rg-name}/providers/Microsoft.Storage/storageAccounts/{storage-account-name}",
            "evidenceBlobContainer": "evidence-container"
          }
        ]
      }
    }
  }
  

محددات الموارد

تسهل الخاصية الاختيارية resourceSelectors ممارسات النشر الآمنة (SDP) من خلال تمكينك من طرح تعيينات النهج تدريجيا استنادا إلى عوامل مثل موقع المورد أو نوع المورد أو ما إذا كان للمورد موقع. عند استخدام محددات الموارد، سيقوم نهج Azure بتقييم الموارد القابلة للتطبيق فقط على المواصفات التي تم إجراؤها في محددات الموارد. يمكن أيضا استخدام محددات الموارد لتضييق نطاق الإعفاءات بنفس الطريقة.

في السيناريو المثال التالي، يتم تقييم تعيين النهج الجديد فقط إذا كان موقع المورد إما شرق الولايات المتحدة أو غرب الولايات المتحدة.

{
    "properties": {
        "policyDefinitionId": "/subscriptions/{subId}/providers/Microsoft.Authorization/policyDefinitions/ResourceLimit",
        "definitionVersion": "1.1.*",
        "resourceSelectors": [
            {
                "name": "SDPRegions",
                "selectors": [
                    {
                        "kind": "resourceLocation",
                        "in": [ "eastus", "westus" ]
                    }
                ]
            }
        ]
    },
    "systemData": { ... },
    "id": "/subscriptions/{subId}/providers/Microsoft.Authorization/policyAssignments/ResourceLimit",
    "type": "Microsoft.Authorization/policyAssignments",
    "name": "ResourceLimit"
}

عندما تكون مستعدا لتوسيع نطاق التقييم لسياستك، يجب عليك فقط تحديث التعيين. يوضح المثال التالي تعيين النهج الخاص بنا مع منطقتين إضافيتين من Azure تمت إضافتها إلى محدد SDPRegions . ملاحظة، في هذا المثال، يعني SDP إلى ممارسة النشر الآمن:

{
    "properties": {
        "policyDefinitionId": "/subscriptions/{subId}/providers/Microsoft.Authorization/policyDefinitions/ResourceLimit",
        "definitionVersion": "1.1.*",
        "resourceSelectors": [
            {
                "name": "SDPRegions",
                "selectors": [
                    {
                        "kind": "resourceLocation",
                        "in": [ "eastus", "westus", "centralus", "southcentralus" ]
                    }
                ]
            }
        ]
    },
    "systemData": { ... },
    "id": "/subscriptions/{subId}/providers/Microsoft.Authorization/policyAssignments/ResourceLimit",
    "type": "Microsoft.Authorization/policyAssignments",
    "name": "ResourceLimit"
}

محددات الموارد لها الخصائص التالية:

• name: اسم محدد المورد.

• selectors: (اختياري) الخاصية المستخدمة لتحديد المجموعة الفرعية من الموارد المطبقة على تعيين النهج التي يجب تقييمها للامتثال.

  • kind: خاصية محدد يصف الخاصية التي تضيق مجموعة الموارد التي تم تقييمها. يمكن استخدام كل نوع مرة واحدة فقط في محدد مورد واحد. القيم المسموح بها هي:

    • resourceLocation: تستخدم هذه الخاصية لتحديد الموارد استنادا إلى نوعها. لا يمكن استخدامها في محدد المورد نفسه مثل resourceWithoutLocation.

    • resourceType: تستخدم هذه الخاصية لتحديد الموارد استنادا إلى نوعها.

    • resourceWithoutLocation: تستخدم هذه الخاصية لتحديد الموارد على مستوى الاشتراك الذي لا يحتوي على موقع. حاليا يدعم subscriptionLevelResourcesفقط . لا يمكن استخدامها في محدد المورد نفسه مثل resourceLocation.

  • in: قائمة القيم المسموح بها للقيم المحددة kind. لا يمكن استخدامها مع notIn. يمكن أن يحتوي على ما يصل إلى 50 قيمة.

  • notIn: قائمة القيم غير المسموح بها للقيم المحددة kind. لا يمكن استخدامها مع in. يمكن أن يحتوي على ما يصل إلى 50 قيمة.

يمكن أن يحتوي محدد الموارد على محددات متعددة. لكي يكون قابلا للتطبيق على محدد الموارد، يجب أن يفي المورد بالمتطلبات المحددة من قبل جميع محدداته. علاوة على ذلك، يمكن تحديد ما يصل إلى 10 محددات موارد في تعيين واحد. يتم تقييم الموارد داخل النطاق عندما تفي بأي من محددات الموارد هذه.

التجاوزات

تسمح لك الخاصية الاختيارية overrides بتغيير تأثير تعريف النهج دون تغيير تعريف النهج الأساسي أو استخدام تأثير معلمات في تعريف النهج.

حالة الاستخدام الشائعة للتجاوزات السارية هي مبادرات النهج التي لها عدد كبير من تعريفات النهج المقترنة. في هذه الحالة، يمكن أن تستهلك إدارة تأثيرات النهج المتعددة جهدا إداريا كبيرا، خاصة عندما يحتاج التأثير إلى تحديث من وقت لآخر. يمكن استخدام التجاوزات لتحديث تأثيرات تعريفات النهج المتعددة في نفس الوقت ضمن مبادرة.

دعونا نلقي نظرة على مثال. تخيل أن لديك مبادرة نهج تسمى CostManagement تتضمن تعريف نهج مخصص مع policyDefinitionReferenceId corpVMSizePolicy وتأثير واحد ل audit. لنفترض أنك تريد تعيين مبادرة CostManagement ، ولكنك لا تريد حتى الآن رؤية التوافق الذي تم الإبلاغ عنه لهذا النهج. يمكن استبدال تأثير "التدقيق" لهذا النهج ب "معطل" من خلال تجاوز تعيين المبادرة، كما هو موضح في العينة التالية:

{
    "properties": {
        "policyDefinitionId": "/subscriptions/{subId}/providers/Microsoft.Authorization/policySetDefinitions/CostManagement",
        "overrides": [
            {
                "kind": "policyEffect",
                "value": "disabled",
                "selectors": [
                    {
                        "kind": "policyDefinitionReferenceId",
                        "in": [ "corpVMSizePolicy" ]
                    }
                ]
            }
        ]
    },
    "systemData": { ... },
    "id": "/subscriptions/{subId}/providers/Microsoft.Authorization/policyAssignments/CostManagement",
    "type": "Microsoft.Authorization/policyAssignments",
    "name": "CostManagement"
}

هناك حالة استخدام شائعة أخرى للتجاوزات وهي طرح إصدار جديد من التعريف. للحصول على الخطوات الموصى بها حول تحديث إصدار التعيين بأمان، راجع النشر الآمن للنهج.

التجاوزات لها الخصائص التالية:

• kind: الخاصية التي سيتجاوزها التعيين. الأنواع المدعومة هي policyEffect و policyVersion.

• value: القيمة الجديدة التي تتجاوز القيمة الموجودة. بالنسبة إلى kind: policyEffect، القيم المدعومة هي تأثيرات. بالنسبة إلى kind: policyVersion، يجب أن يكون رقم الإصدار المدعوم أكبر من أو يساوي definitionVersion المحدد في التعيين.

• selectors: (اختياري) الخاصية المستخدمة لتحديد نطاق تعيين النهج الذي يجب أن يأخذه في التجاوز.

  • kind: خاصية محدد يصف الخاصية التي ستضيق نطاق التجاوز. القيم المسموح بها ل kind: policyEffect:

    • policyDefinitionReferenceId: يحدد هذا تعريفات النهج ضمن تعيين المبادرة التي يجب أن تأخذ على تجاوز التأثير.

    • resourceLocation: تستخدم هذه الخاصية لتحديد الموارد استنادا إلى نوعها. لا يمكن استخدامها في محدد المورد نفسه مثل resourceWithoutLocation.

    القيمة المسموح بها ل kind: policyVersion:

    • resourceLocation: تستخدم هذه الخاصية لتحديد الموارد استنادا إلى نوعها. لا يمكن استخدامها في محدد المورد نفسه مثل resourceWithoutLocation.

  • in: قائمة القيم المسموح بها للقيم المحددة kind. لا يمكن استخدامها مع notIn. يمكن أن يحتوي على ما يصل إلى 50 قيمة.

  • notIn: قائمة القيم غير المسموح بها للقيم المحددة kind. لا يمكن استخدامها مع in. يمكن أن يحتوي على ما يصل إلى 50 قيمة.

يمكن استخدام تجاوز واحد لاستبدال تأثير العديد من النهج عن طريق تحديد قيم متعددة في صفيف policyDefinitionReferenceId. يمكن استخدام تجاوز واحد لما يصل إلى 50 policyDefinitionReferenceIds، ويمكن أن يحتوي تعيين نهج واحد على ما يصل إلى 10 تجاوزات، يتم تقييمها بالترتيب الذي تم تحديدها به. قبل إنشاء التعيين، يتم التحقق من صحة التأثير الذي تم اختياره في التجاوز مقابل قاعدة النهج وقائمة القيم المسموح بها للمعلمة (في الحالات التي يتم فيها تحديد معلمات التأثير).

وضع التطبيق

توفر خاصية enforcementMode للعملاء القدرة على اختبار نتيجة نهج على الموارد الموجودة دون بدء تأثير النهج أو تشغيل الإدخالات في سجل Azure Activity.

يشار إلى هذا السيناريو بشكل عام باسم «ماذا لو» ويتوافق مع ممارسات النشر الآمن. enforcementMode يختلف عن التأثير معطّل، لأن هذا التأثير يمنع تقييم الموارد من الحدوث على الإطلاق.

هذه الخاصية لها القيم التالية:

وضع	قيمة JSON	نوع	المعالجة يدويًا	إدخال سجل النشاط	‏‏الوصف
مُمَكّن	الإعداد الافتراضي	سلسلة	‏‏نعم‬	‏‏نعم‬	يتم فرض تأثير النهج في أثناء إنشاء المورد أو تحديثه.
⁧⁩مُعطل⁧⁩	DoNotEnforce	سلسلة	‏‏نعم‬	لا	لا يتم فرض تأثير النهج في أثناء إنشاء المورد أو تحديثه.

إذا لم يتم تحديد enforcementMode في تعريف نهج أو مبادرة، يتم استخدام القيمة افتراضي. مهام المعالجة يمكن بدؤها لنهج deployIfNotExists، حتى عند تعيين enforcementMode على DoNotEnforce.

النطاقات المستبعدة

يتضمن نطاق التعيين كل حاويات الموارد التابعة والموارد التابعة. وإذا لم يكن يجب تطبيق التعريف على حاوية موارد تابعة أو مورد تابع، يمكن استبعاد كل منها من التقييم عن طريق تعيين notScopes. هذه الخاصية عبارة عن صفيف لتمكين استثناء واحد أو أكثر من حاويات الموارد أو الموارد من التقييم. notScopes يمكن إضافتها أو تحديثها بعد إنشاء التعيين الأولي.

إشعار

يختلف مورد مستبعد عن مورد معفى. لمزيد من المعلومات، راجع فهم النطاق في نهج Azure.

رسائل عدم التوافق

لتعيين رسالة مخصصة توضح سبب عدم توافق المورد مع تعريف النهج أو المبادرة، قم بتعيين nonComplianceMessages في تعريف التعيين. هذه العقدة عبارة عن صفيف من إدخالات message. هذه الرسالة المخصصة هي بالإضافة إلى رسالة الخطأ الافتراضية لعدم التوافق وهي اختيارية.

هام

يتم دعم الرسائل المخصصة لعدم التوافق فقط في التعريفات أو المبادرات مع تعريفات أوضاع Resource Manager.

"nonComplianceMessages": [
    {
        "message": "Default message"
    }
]

إذا كان التعيين لمبادرة، فإنه يمكن تكوين رسائل مختلفة لكل تعريف نهج في المبادرة. تستخدم الرسائل القيمة المكوّنة policyDefinitionReferenceId في تعريف المبادرة. للحصول على التفاصيل، راجع خصائص تعريفات النهج.

"nonComplianceMessages": [
    {
        "message": "Default message"
    },
    {
        "message": "Message for just this policy definition by reference ID",
        "policyDefinitionReferenceId": "10420126870854049575"
    }
]

المعلمات

هذا الجزء من تعيين النهج يوفر قيم المعلمات المحددة في تعريف النهج أو تعريف المبادرة. يتيح هذا التصميم إمكانية إعادة استخدام تعريف نهج أو مبادرة مع موارد مختلفة، ولكن تحقق من قيم أو نتائج عمل مختلفة.

"parameters": {
    "prefix": {
        "value": "DeptA"
    },
    "suffix": {
        "value": "-LC"
    }
}

في هذا المثال، المعلمات المحددة مسبقًا في تعريف النهج هي prefix وsuffix. يعين تعيين النهج المحدد هذا prefix إلى DeptA وsuffix إلى -LC. يمكن إعادة استخدام تعريف النهج نفسه مع مجموعة مختلفة من المعلمات لإدارة مختلفة، ما يقلل من الازدواجية والتعقيد في تعريفات النهج مع توفير المرونة.

الهوية

بالنسبة لتعيينات النهج التي تم تعيين التأثير عليها إلى deployIfNotExist أو تعديلها، يلزم أن يكون لديك خاصية هوية لإجراء المعالجة على الموارد غير المتوافقة. عند استخدام هوية، يجب على المستخدم أيضا تحديد موقع للتعيين.

إشعار

يمكن أن يقترن تعيين نهج واحد بهوية مُدارة واحدة فقط معينة من قبل النظام أو المستخدم. ومع ذلك، يمكن تعيين أكثر من دور لهذه الهوية إذا لزم الأمر.

# System-assigned identity
 "identity": {
    "type": "SystemAssigned"
  }
# User-assigned identity
  "identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/SubscriptionID/resourceGroups/testResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/test-identity": {}
    }
  },

الخطوات التالية

• تعرف على بنية تعريف النهج.
• التعرف على كيفية إنشاء النُهج برمجيًا.
• تعرف على كيفية الحصول على بيانات التوافق.
• تعرف على كيفية إصلاح الموارد غير المتوافقة.
• راجع المقصود بمجموعة الإدارة من خلال تنظيم مواردك باستخدام مجموعات إدارة Azure.