فهم النطاق في نهج Azure
هناك العديد من الإعدادات التي تحدد الموارد التي يمكن تقييمها والموارد التي يتم تقييمها بواسطة نهج Azure. المفهوم الأساسي لعناصر التحكم هذه هو النطاق. يستند النطاق في نهج Azure إلى كيفية عمل النطاق في Azure Resource Manager. للحصول على نظرة عامة عالية المستوى، راجع النطاق في Azure Resource Manager.
توضح هذه المقالة أهمية النطاق في نهج Azure والعناصر والخصائص ذات الصلة.
الموقع المتعلق بالتعريف
نطاق المثيل الأول المستخدم بواسطة Azure Policy هو عند إنشاء تعريف نهج. يمكن حفظ التعريف إما في مجموعة إدارة أو اشتراك. يحدد الموقع النطاق الذي يمكن تعيين المبادرة أو النهج إليه. يجب أن تكون الموارد ضمن التسلسل الهرمي للموارد لموقع التعريف المراد استهدافه للتعيين. تصف الموارد التي يغطيها نهج Azure كيفية تقييم النهج.
إذا كان موقع التعريف هو:
- الاشتراك - الاشتراك حيث يتم تعريف النهج ويمكن تعيين الموارد داخل هذا الاشتراك لتعريف النهج.
- مجموعة الإدارة - مجموعة الإدارة حيث يتم تعريف النهج ويمكن تعيين الموارد داخل مجموعات الإدارة التابعة والاشتراكات التابعة لتعريف النهج. إذا كنت تخطط لتطبيق تعريف النهج على عدة اشتراكات، يجب أن يكون الموقع مجموعة إدارة تحتوي على كل اشتراك.
يجب أن يكون الموقع حاوية الموارد المشتركة من قبل كافة الموارد التي تريد استخدام تعريف النهج الموجود عليها. عادة ما تكون حاوية الموارد هذه مجموعة إدارة بالقرب من مجموعة إدارة الجذر.
نطاقات التعيين
يحتوي التعيين على العديد من الخصائص التي تعين نطاقا. يحدد استخدام هذه الخصائص أي مورد لنهج Azure لتقييمه والموارد التي تحسب نحو التوافق. تعين هذه الخصائص إلى المفاهيم التالية:
التضمين - يجب تقييم التسلسل الهرمي للموارد أو المورد الفردي للتوافق من خلال التعريف. تحدد الخاصية
properties.scopeالموجودة على كائن التعيين ما يجب تضمينه وتقييمه للتوافق. لمزيد من المعلومات، راجع تعريف التعيين.الاستبعاد - لا ينبغي تقييم التسلسل الهرمي للموارد أو المورد الفردي للتوافق من خلال التعريف. تحدد خاصية
properties.notScopesالصفيف على كائن التعيين ما يجب استبعاده. لا يتم تقييم الموارد داخل هذه النطاقات أو تضمينها في عدد التوافق. لمزيد من المعلومات، راجع تعريف التعيين - النطاقات المستبعدة.
بالإضافة إلى الخصائص في تعيين النهج، هو كائن استثناء النهج. تحسن الإعفاءات قصة النطاق من خلال توفير طريقة لتحديد جزء من واجب لا يتم تقييمه.
الاستثناء - يجب تقييم التسلسل الهرمي للموارد أو المورد الفردي للامتثال بواسطة التعريف، ولكن لن يتم تقييمه لسبب مثل وجود تنازل أو تخفيفه من خلال طريقة أخرى. تظهر الموارد في هذه الحالة على أنها معفاة في تقارير التوافق بحيث يمكن تعقبها. يتم إنشاء كائن الإعفاء في التسلسل الهرمي للموارد أو المورد الفردي كعنصر تابع، والذي يحدد نطاق الإعفاء. يمكن إعفاء التسلسل الهرمي للموارد أو المورد الفردي من تعيينات متعددة. قد يتم تكوين الإعفاء لتنتهي صلاحيته في جدول باستخدام الخاصية
expiresOn. لمزيد من المعلومات، راجع تعريف الإعفاء.إشعار
نظرًا لتأثير منح استثناء لتدرج هرمي للموارد أو مورد فردي، فإن الإعفاءات لها تدابير أمان إضافية. بالإضافة إلى طلب العملية
Microsoft.Authorization/policyExemptions/writeعلى التسلسل الهرمي للموارد أو المورد الفردي، يجب أن يكون لمنشئ الإعفاء الفعلexempt/Actionعلى التعيين الهدف.
مقارنة النطاق
الجدول التالي هو مقارنة بين خيارات النطاق:
| إدراج | استبعاد (notScopes) | إعفاء | |
|---|---|---|---|
| يتم تقييم الموارد | ✔ | - | - |
| كائن Resource Manager | - | - | ✔ |
| يتطلب تعديل كائن تعيين النهج | ✔ | ✔ | - |
فكيف تختار ما إذا كنت ستستخدم استثناء أم استثناء؟ عادة ما يوصى بالاستثناءات لتجاوز التقييم بشكل دائم لنطاق واسع مثل بيئة اختبار لا تتطلب نفس المستوى من الحوكمة. يوصى بالإعفاءات لسيناريوهات محددة زمنيا أو أكثر تحديدا حيث يجب تعقب التسلسل الهرمي للمورد أو المورد وسيتم تقييمه بخلاف ذلك، ولكن هناك سبب محدد لعدم تقييمه للامتثال.
الخطوات التالية
- تعرف على بنية تعريف النهج.
- التعرف على كيفية إنشاء النُهج برمجيًا.
- تعرف على كيفية الحصول على بيانات التوافق.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.
- راجع المقصود بمجموعة الإدارة من خلال تنظيم مواردك باستخدام مجموعات إدارة Azure.