حالات التوافق مع نهج Azure
كيف يعمل الامتثال
عند تعيين تعريفات المبادرة أو النهج، يحدد نهج Azure الموارد القابلة للتطبيق ثم يقيم تلك الموارد غير المستبعدة أو المعفاة. ينتج عن التقييم حالات التوافق استنادا إلى الشروط في قاعدة النهج وكل مورد يتقيد بهذه المتطلبات.
حالات التوافق المتوفرة
غير متوافق
تعتبر تعيينات النهج ذات التأثيرات auditIfNotExistsأو أو غير modify متوافقة للموارد الجديدة أو المحدثة أو الموجودة عند تقييم شروط قاعدة النهج إلى TRUE.audit
تعتبر تعيينات النهج ذات التأثيرات denyو و deployIfNotExists غير متوافقة مع الموارد الموجودة عند تقييم شروط قاعدة النهج إلى TRUE.append تتم معالجة الموارد الجديدة والمحدثة تلقائيا أو رفضها في وقت الطلب لفرض التوافق. عند تحديث مورد غير متوافق موجود مسبقا، تظل حالة التوافق غير متوافقة حتى اكتمال نشر الموارد وتقييم النهج.
إشعار
تتطلب التأثيرات deployIfNotExists و auditIfNotExists أن تكون عبارة IF TRUE وأن يكون شرط الوجود FALSE غير متوافق. عندما تكون القيمة "TRUE"، فإن عبارة الشرط تدعم تقييم شرط وجود الموارد ذات الصلة.
تعتبر تعيينات النهج ذات manual التأثيرات غير متوافقة في ظل ظرفين:
- يحتوي تعريف النهج على حالة توافق افتراضية غير متوافقة ولا يوجد إثبات نشط للمورد القابل للتطبيق ينص على خلاف ذلك.
- تم التصديق على المورد على أنه غير متوافق.
لتحديد سبب عدم توافق المورد أو للعثور على التغيير المسؤول، راجع تحديد أسباب عدم التوافق. لمعالجة الموارد غير المتوافقة مع deployIfNotExists النهج وmodify، راجع معالجة الموارد غير المتوافقة باستخدام نهج Azure.
متوافق
تعتبر تعيينات النهج ذات appendauditauditIfNotExistsdenymodify deployIfNotExistsالتأثيرات أو متوافقة مع الموارد الجديدة أو المحدثة أو الموجودة عند تقييم شروط قاعدة النهج إلى .FALSE
تعتبر تعيينات النهج ذات manual التأثيرات متوافقة في ظل ظرفين:
- يحتوي تعريف النهج على حالة توافق افتراضية متوافقة ولا يوجد إثبات نشط للمورد القابل للتطبيق ينص على خلاف ذلك.
- تم التصديق على المورد على أنه متوافق.
خطأ
يتم إعطاء حالة توافق الخطأ لتعيينات النهج التي تنشئ خطأ في النظام، مثل خطأ في القالب أو التقييم.
المتعارضه
يعتبر تعيين النهج متعارضا عندما يكون هناك تعيينان أو أكثر من تعيينات النهج الموجودة في نفس النطاق مع قواعد متناقضة أو متعارضة. على سبيل المثال، تعريفان يقومان بإلحاق نفس العلامة بقيم مختلفة.
إعفاء
المورد القابل للتطبيق لديه حالة توافق معفاة لتعيين نهج عندما يكون في نطاق الإعفاء.
إشعار
يختلف الإعفاء عن المستبعد. لمزيد من المعلومات، راجع فهم النطاق في نهج Azure.
غير معروف
غير معروف هو حالة التوافق الافتراضية للتعريفات ذات manual التأثير، ما لم يتم تعيين الافتراضي بشكل صريح إلى متوافق أو غير متوافق. تشير هذه الحالة إلى أن إثبات التوافق أمر مبرر. تحدث حالة التوافق هذه فقط لتعيينات النهج ذات manual التأثير.
محمي
تشير الحالة المحمية إلى أن المورد مشمول ضمن تعيين مع تأثير denyAction .
غير مسجل
تظهر حالة التوافق هذه في مدخل Microsoft Azure عندما لا يكون موفر موارد نهج Azure مسجلا، أو عندما لا يكون للحساب الذي سجل الدخول إذنا لقراءة بيانات التوافق.
إشعار
إذا تم الإبلاغ عن حالة التوافق على أنها غير مسجلة، فتحقق من Microsoft.PolicyInsights أن موفر الموارد مسجل وأن المستخدم لديه أذونات التحكم في الوصول المستندة إلى دور Azure (Azure RBAC) المناسبة كما هو موضح في أذونات Azure RBAC في نهج Azure.
لتسجيل Microsoft.PolicyInsights، اتبع الخطوات الواردة في موفري موارد Azure وأنواعها.
لم يبدأ
تشير حالة التوافق هذه إلى أن دورة التقييم لم تبدأ للنهج أو المورد.
مثال
الآن بعد أن أصبح لديك فهم حول حالات التوافق الموجودة وما يعنيه كل منها، دعنا ننظر إلى مثال باستخدام الحالات المتوافقة وغير المتوافقة.
لنفترض أن لديك مجموعة موارد - ContosoRG، مع بعض حسابات التخزين (المميزة باللون الأحمر) التي تتعرض للشبكات العامة.
رسم تخطيطي يعرض صوراً لخمسة حسابات تخزين في مجموعة موارد Contoso RG. حسابات التخزين واحد وثلاثة باللون الأزرق، بينما حسابات التخزين اثنان وأربعة وخمسة باللون الأحمر.
في هذا المثال، يجب أن تكون حذراً من مخاطر الأمان. افترض أنك تقوم بتعيين تعريف نهج يقوم بالتدقيق لحسابات التخزين التي تتعرض للشبكات العامة، وأنه لم يتم إنشاء أي استثناءات لهذا التعيين. يتحقق النهج من الموارد القابلة للتطبيق (التي تتضمن جميع حسابات التخزين في مجموعة موارد ContosoRG)، ثم يقيم تلك الموارد غير المستبعدة من التقييم. يقوم بمراجعة حسابات التخزين الثلاثة المعرضة للشبكات العامة، وتغيير حالات التوافق الخاصة بها إلى غير متوافقة. يتم وضع علامة متوافق على الباقي.
رسم تخطيطي يعرض صوراً لخمسة حسابات تخزين في مجموعة موارد Contoso RG. تحتوي حسابات التخزين رقم واحد وثلاثة الآن على علامات اختيار خضراء تحتها، في حين أن حسابات التخزين رقم اثنين وأربعة وخمسة بها الآن علامات تحذير حمراء تحتها.
مجموعة التوافق
يتم تحديد حالة التوافق لكل مورد، لكل تعيين نهج. ومع ذلك، غالبا ما نحتاج إلى عرض صورة كبيرة لحالة البيئة، وهو المكان الذي يدخل فيه الامتثال الكلي حيز التنفيذ.
هناك عدة طرق لعرض نتائج التوافق المجمعة في المدخل:
| عرض التوافق التجميعي | العوامل التي تحدد حالة التوافق |
|---|---|
| النطاق | كافة النهج ضمن النطاق المحدد |
| المبادرة | جميع النهج داخل المبادرة |
| مجموعة المبادرة أو عنصر التحكم | كافة النهج داخل المجموعة أو عنصر التحكم |
| النهج | جميع الموارد القابلة للتطبيق |
| Resource | جميع النهج المعمول بها |
مقارنة حالات التوافق المختلفة
فكيف يتم تحديد حالة التوافق الكلي إذا كانت الموارد أو النهج المتعددة لها حالات امتثال مختلفة نفسها؟ يصنف نهج Azure كل حالة امتثال بحيث يفوز أحدهما على حالة أخرى في هذه الحالة. ترتيب الرتبة هو:
- غير متوافق
- متوافق
- خطأ
- المتعارضه
- محمي (معاينة)
- اعفاء
- غير معروف (معاينة)
إشعار
لم يتم البدء وعدم التسجيل في حسابات مجموعة التوافق.
مع ترتيب الرتبة هذا، إذا كانت هناك حالات غير متوافقة ومتوافقة، فسيكون التجميع الطرح غير متوافق، وهكذا. لنلقِ نظرة على مثال:
افترض أن المبادرة تحتوي على 10 نهج، ويتم إعفاء المورد من نهج واحد ولكنه متوافق مع النهج التسعة المتبقية. نظرا لأن الحالة المتوافقة لها مرتبة أعلى من الحالة المعفاة، فسيسجل المورد على أنه متوافق في الملخص الطرح للمبادرة. لذلك، لا يظهر المورد على أنه معفى للمبادرة بأكملها إلا إذا كان معفا من كل سياسة أخرى قابلة للتطبيق في تلك المبادرة أو كان لديه امتثال غير معروف لها. ومن ناحية أخرى، فإن المورد غير المتوافق مع سياسة واحدة على الأقل قابلة للتطبيق في المبادرة له حالة امتثال شاملة غير متوافقة، بغض النظر عن النهج المطبقة المتبقية.
النسبة المئوية للتوافق
يتم تحديد النسبة المئوية للتوافق عن طريق قسمة الموارد المتوافقة والإعفاء وغير المعروفة على إجمالي الموارد. تتضمن الموارد الإجمالية موارد ذات حالات متوافقة وغير متوافقة وغير معروفة ومعفاة ومتضاربة وخطأ.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
في الصورة المعروضة، هناك 20 موردا مميزا قابلا للتطبيق وواحد فقط غير متوافق. الامتثال العام للموارد هو 95% (19 من 20).
الخطوات التالية
- تعرف على كيفية الحصول على بيانات التوافق
- تعرف على كيفية تحديد أسباب عدم التوافق
- الحصول على بيانات التوافق من خلال استعلامات نموذج Azure Resource Graph لنهج Azure