فهم النطاق في نهج Azure
هناك العديد من الإعدادات التي تحدد الموارد التي يمكن تقييمها والموارد التي يقيمها نهج Azure. المفهوم الأساسي لعناصر التحكم هذه هو النطاق. يستند النطاق في نهج Azure إلى كيفية عمل النطاق في Azure Resource Manager. للحصول على نظرة عامة عالية المستوى، راجع النطاق في Azure Resource Manager.
توضح هذه المقالة أهمية النطاق في نهج Azure والعناصر والخصائص ذات الصلة.
الموقع المتعلق بالتعريف
نطاق المثيل الأول المستخدم بواسطة Azure Policy هو عند إنشاء تعريف نهج. قد يتم حفظ التعريف إما في مجموعة إدارة أو اشتراك. يحدد الموقع النطاق الذي يمكن تعيين المبادرة أو النهج إليه. يجب أن تكون الموارد ضمن التسلسل الهرمي للموارد لموقع التعريف المراد استهدافه للتعيين. تصف الموارد التي يغطيها نهج Azure كيفية تقييم النهج.
إذا كان موقع التعريف هو:
- الاشتراك: الاشتراك حيث يتم تعريف النهج ويمكن تعيين الموارد داخل هذا الاشتراك لتعريف النهج.
- مجموعة الإدارة: مجموعة الإدارة حيث يتم تعريف النهج ويمكن تعيين الموارد داخل مجموعات الإدارة التابعة والاشتراكات التابعة لتعريف النهج. إذا كنت تخطط لتطبيق تعريف النهج على عدة اشتراكات، يجب أن يكون الموقع مجموعة إدارة تحتوي على كل اشتراك.
يجب أن يكون الموقع حاوية الموارد المشتركة من قبل كافة الموارد التي تريد استخدام تعريف النهج الموجود عليها. عادة ما تكون حاوية الموارد هذه مجموعة إدارة بالقرب من مجموعة إدارة الجذر.
نطاقات التعيين
يحتوي التعيين على العديد من الخصائص التي تعين نطاقا. يحدد استخدام هذه الخصائص أي مورد لنهج Azure لتقييمه والموارد التي تحسب نحو التوافق. تعين هذه الخصائص إلى المفاهيم التالية:
- التضمين: يقوم التعريف بتقييم التوافق للتسلسل الهرمي للموارد أو المورد الفردي. يحدد نطاق عنصر التعيين ما يجب تضمينه وتقييمه للتوافق. لمزيد من المعلومات، راجع بنية تعيين نهج Azure.
- الاستبعاد: يجب ألا يقيم التعريف التوافق لتسلسل هرمي للموارد أو مورد فردي.
properties.notScopesتحدد خاصية الصفيف على كائن التعيين ما يجب استبعاده. لا يتم تقييم الموارد داخل هذه النطاقات أو تضمينها في عدد التوافق. لمزيد من المعلومات، راجع بنية تعيين نهج Azure المستثناة النطاقات.
بالإضافة إلى الخصائص في تعيين النهج، هو كائن بنية استثناء نهج Azure. تحسن الإعفاءات قصة النطاق من خلال توفير طريقة لتحديد جزء من واجب لا يتم تقييمه.
الإعفاء: يقيم التعريف التوافق للتسلسل الهرمي للموارد أو المورد الفردي، ولكنه لا يقيم لسبب مثل التنازل أو التخفيف من خلال طريقة أخرى. تظهر الموارد في هذه الحالة على أنها معفاة في تقارير التوافق بحيث يمكن تعقبها. يتم إنشاء كائن الإعفاء في التسلسل الهرمي للموارد أو المورد الفردي كعنصر تابع، والذي يحدد نطاق الإعفاء. يمكن إعفاء التسلسل الهرمي للموارد أو المورد الفردي من تعيينات متعددة. قد يتم تكوين الإعفاء لينتهي في جدول باستخدام الخاصية expiresOn . لمزيد من المعلومات، راجع بنية استثناء نهج Azure.
إشعار
نظرًا لتأثير منح استثناء لتدرج هرمي للموارد أو مورد فردي، فإن الإعفاءات لها تدابير أمان إضافية. بالإضافة إلى طلب العملية Microsoft.Authorization/policyExemptions/write على التسلسل الهرمي للموارد أو المورد الفردي، يجب أن يكون لمنشئ الإعفاء الفعل exempt/Action على التعيين الهدف.
مقارنة النطاق
الجدول التالي هو مقارنة بين خيارات النطاق:
| الموارد | إدراج | استبعاد (notScopes) | إعفاء |
|---|---|---|---|
| يتم تقييم الموارد | ✔ | - | - |
| كائن Resource Manager | - | - | ✔ |
| يتطلب تعديل كائن تعيين النهج | ✔ | ✔ | - |
فكيف تختار ما إذا كنت ستستخدم استثناء أم استثناء؟ عادة ما يوصى بالاستثناءات لتجاوز التقييم بشكل دائم لنطاق واسع مثل بيئة اختبار لا تتطلب نفس المستوى من الحوكمة. يوصى بالإعفاءات لسيناريوهات محددة زمنيا أو أكثر تحديدا حيث يجب تعقب التسلسل الهرمي للمورد أو المورد وسيتم تقييمه بخلاف ذلك، ولكن هناك سبب محدد لعدم تقييمه للامتثال.
الخطوات التالية
- تعرف على بنية تعريف النهج.
- التعرف على كيفية إنشاء النُهج برمجيًا.
- تعرف على كيفية الحصول على بيانات التوافق.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.
- تعرف على المزيد حول كيفية تنظيم مواردك باستخدام مجموعات إدارة Azure.