Principy oboru ve službě Azure Policy
Existuje mnoho nastavení, která určují, které prostředky je možné vyhodnotit a které prostředky se vyhodnocují službou Azure Policy. Primárním konceptem těchto ovládacích prvků je rozsah. Obor ve službě Azure Policy je založený na tom, jak funguje obor v Azure Resource Manageru. Základní přehled najdete v tématu Rozsah v Azure Resource Manageru.
Tento článek vysvětluje důležitost rozsahu ve službě Azure Policy a související objekty a vlastnosti.
Umístění definice
První obor instance používaný službou Azure Policy je při vytvoření definice zásady. Definice může být uložena buď ve skupině pro správu, nebo v předplatném. Umístění určuje obor, ke kterému lze přiřadit iniciativu nebo zásadu. Prostředky musí být v hierarchii prostředků umístění definice, které se mají cílit na přiřazení. Prostředky , na které se vztahuje služba Azure Policy , popisují, jak se zásady vyhodnocují.
Pokud je umístění definice:
- Předplatné – předplatné , ve kterém jsou zásady definované a prostředky v rámci daného předplatného, je možné přiřadit definici zásady.
- Skupina pro správu – Skupina pro správu, ve které je zásada definovaná, a prostředky v rámci podřízených skupin pro správu a podřízených předplatných je možné přiřadit definici zásady. Pokud plánujete použít definici zásad pro několik předplatných, musí být umístění skupina pro správu, která obsahuje každé předplatné.
Umístěním by měl být kontejner prostředků sdílený všemi prostředky, u kterého chcete použít definici zásady. Tento kontejner prostředků je obvykle skupina pro správu blízko kořenové skupiny pro správu.
Obory přiřazení
Přiřazení má několik vlastností, které nastavily obor. Použití těchto vlastností určuje, který prostředek azure Policy se má vyhodnotit a které prostředky se počítají do dodržování předpisů. Tyto vlastnosti se mapují na následující koncepty:
Zahrnutí – Hierarchie prostředků nebo jednotlivý prostředek by měly být vyhodnoceny pro dodržování předpisů definicí. Vlastnost
properties.scopeobjektu přiřazení určuje, co zahrnout a vyhodnotit dodržování předpisů. Další informace naleznete v tématu Definice přiřazení.Vyloučení – Hierarchie prostředků nebo jednotlivý prostředek by neměly být vyhodnocovány z hlediska dodržování předpisů definicí. Vlastnost
properties.notScopespole u objektu přiřazení určuje, co se má vyloučit. Prostředky v těchto oborech se nevyhodnocují ani nezahrnují do počtu dodržování předpisů. Další informace naleznete v tématu Definice přiřazení – vyloučené obory.
Kromě vlastností přiřazení zásady je objekt výjimky zásady. Výjimky rozšiřují scénář oboru tím, že poskytují metodu pro identifikaci části přiřazení, která se nevyhodnocuje.
Výjimka – Hierarchie prostředků nebo jednotlivý prostředek by měly být vyhodnoceny z hlediska dodržování předpisů definicí, ale nebudou vyhodnoceny z nějakého důvodu, jako je zrušení nebo zmírnění prostřednictvím jiné metody. Prostředky v tomto stavu se v sestavách dodržování předpisů zobrazují jako vyloučené , aby je bylo možné sledovat. Objekt výjimky se vytvoří v hierarchii prostředků nebo v samostatném prostředku jako podřízený objekt, který určuje rozsah výjimky. Hierarchii zdrojů nebo jednotlivý zdroj lze vyloučit z více přiřazení. Výjimka může být nakonfigurována tak, aby vypršela podle plánu pomocí
expiresOnvlastnosti. Další informace naleznete v tématu Definice výjimky.Poznámka:
Vzhledem k dopadu udělení výjimky pro hierarchii prostředků nebo jednotlivých prostředků mají výjimky další bezpečnostní opatření. Kromě toho, že vyžadujete
Microsoft.Authorization/policyExemptions/writeoperaci v hierarchii prostředků nebo v jednotlivých zdrojích, musí tvůrce výjimky obsahovatexempt/Actionpříkaz pro cílové přiřazení.
Porovnání rozsahu
V následující tabulce je porovnání možností oboru:
| Začlenění | Vyloučení (notScopes) | Osvobození | |
|---|---|---|---|
| Vyhodnocují se prostředky. | ✔ | - | - |
| Objekt Resource Manageru | - | - | ✔ |
| Vyžaduje úpravu objektu přiřazení zásad. | ✔ | ✔ | - |
Jak se tedy rozhodnete, jestli chcete použít vyloučení nebo výjimku? Obvykle se doporučuje vyloučení trvale obejít vyhodnocení pro široký rozsah, jako je testovací prostředí, které nevyžaduje stejnou úroveň zásad správného řízení. Výjimky se doporučují pro časově vázané nebo konkrétnější scénáře, kdy by se stále měla sledovat hierarchie prostředků nebo prostředků a jinak by se vyhodnocovala, ale existuje konkrétní důvod, proč by se nemělo posoudit dodržování předpisů.
Další kroky
- Seznamte se se strukturou definic zásad.
- Seznamte se s programovým vytvářením zásad.
- Zjistěte, jak získat data dodržování předpisů.
- Zjistěte, jak napravit nevyhovující prostředky.
- Zkontrolujte, co je skupina pro správu pomocí uspořádání prostředků pomocí skupin pro správu Azure.