Základy účinku definic Azure Policy

Každá definice zásad ve službě Azure Policy má jednu effect definici .policyRule Určuje effect , co se stane, když se pravidlo zásady vyhodnotí tak, aby odpovídalo. Efekty se chovají jinak, pokud se jedná o nový prostředek, aktualizovaný prostředek nebo existující prostředek.

Mezi podporované efekty definice Azure Policy patří:

• addToNetworkGroup
• Připojit
• Auditu
• auditIfNotExists
• Odepřít
• denyAction
• deployIfNotExists
• Zakázán
• Ruční
• Upravit
• Mutovat

Prokládání efektů

V některých případech může být pro danou definici zásady platné více efektů. Parametry se často používají k určení hodnot povolených efektů (allowedValues), aby byla jedna definice během přiřazení všestrannější. Je však důležité si uvědomit, že ne všechny účinky jsou zaměnitelné. Vlastnosti prostředků a logika v pravidle zásad můžou určit, jestli je určitý účinek považován za platný pro definici zásady. Například definice zásad s účinkem auditIfNotExists vyžadují další podrobnosti v pravidle zásad, které nejsou vyžadovány pro zásady s účinkem audit. Efekty se také chovají odlišně. audit zásady vyhodnocuje dodržování předpisů prostředku na základě vlastních vlastností, zatímco auditIfNotExists zásady vyhodnocuje dodržování předpisů prostředku na základě vlastností podřízeného prostředku nebo prostředku rozšíření.

Následující seznam obsahuje některé obecné pokyny týkající se zaměnitelných efektů:

• audit, denya to buď modify nebo append jsou často zaměnitelné.
• auditIfNotExists a deployIfNotExists často zaměnitelné.
• manual není zaměnitelný.
• disabled je zaměnitelný s jakýmkoli účinkem.

Pořadí vyhodnocování

Prvním vyhodnocením služby Azure Policy je žádost o vytvoření nebo aktualizaci prostředku. Služba Azure Policy vytvoří seznam všech přiřazení, která se vztahují k danému prostředku, a pak tento prostředek vyhodnotí pro každou definici. V případě režimu Resource Manager azure Policy zpracuje několik efektů před předáním požadavku příslušnému poskytovateli prostředků. Toto pořadí brání zbytečnému zpracování poskytovatelem prostředků, pokud prostředek nesplňuje navržené ovládací prvky zásad správného řízení služby Azure Policy. V režimu poskytovatele prostředků spravuje poskytovatel prostředků vyhodnocení a výsledek a hlásí výsledky zpět do služby Azure Policy.

• disabled Je zaškrtnuto nejprve, abyste zjistili, jestli má být pravidlo zásady vyhodnoceno.
• append a modify pak se vyhodnocují. Vzhledem k tomu, že buď může žádost změnit, může provedená změna zabránit aktivaci efektu auditu nebo zamítnutí. Tyto efekty jsou k dispozici pouze v režimu Resource Manager.
• deny se pak vyhodnotí. Vyhodnocením zamítnutí před auditem se zabrání dvojitému protokolování nežádoucího prostředku.
• audit vyhodnocuje se.
• manual vyhodnocuje se.
• auditIfNotExists vyhodnocuje se.
• denyAction vyhodnocuje se jako poslední.

Jakmile poskytovatel prostředků vrátí kód úspěchu v požadavku režimu Resource Manageru, a deployIfNotExists vyhodnoťte, auditIfNotExists jestli je vyžadováno protokolování dodržování předpisů nebo akce.

PATCH požadavky, které upravují tags pouze související pole, omezují vyhodnocování zásad na zásady obsahující podmínky, které kontrolují tags související pole.

Definice zásad vrstvení

Několik přiřazení může mít vliv na zdroj. Tato přiřazení můžou být ve stejném oboru nebo v různých oborech. Každé z těchto přiřazení má také pravděpodobně jiný účinek. Podmínka a účinek pro každou zásadu se vyhodnocuje nezávisle. Příklad:

• Zásady 1
  • Omezuje umístění prostředků na westus
  • Přiřazeno k předplatnému A
  • Odepřít efekt
• Zásady 2
  • Omezuje umístění prostředků na eastus
  • Přiřazeno ke skupině prostředků B v předplatném A
  • Auditní efekt

Výsledkem tohoto nastavení bude následující výsledek:

• Všechny prostředky, které jsou již ve skupině prostředků B, eastus splňují zásady 2 a nedodržují předpisy zásad 1.
• Jakýkoli prostředek, který již ve skupině prostředků B není v eastus souladu se zásadami 2 a nedodržuje předpisy zásad 1, pokud ne westus
• Zásada 1 odmítne všechny nové prostředky v předplatném A, které nejsou v westus
• Všechny nové prostředky v předplatném A a skupině prostředků B se westus vytvoří a nedodržují zásady 2.

Pokud by zásady 1 i zásady 2 měly vliv na odepření, situace se změní na:

• Všechny prostředky, které už jsou ve skupině prostředků B, nejsou eastus kompatibilní se zásadami 2
• Všechny prostředky ve skupině prostředků B, které westus nejsou kompatibilní se zásadami 1
• Zásada 1 odmítne všechny nové prostředky v předplatném A, které nejsou v westus
• Všechny nové prostředky ve skupině prostředků B předplatného A jsou odepřeny.

Každé přiřazení se vyhodnocuje jednotlivě. V takovém případě není možné, aby prostředek proklouzl mezi rozdíly v rozsahu. Čistý výsledek definic zásad vrstvení se považuje za kumulativní nejvíce omezující. Pokud by například zásady 1 a 2 měly deny vliv, prostředek by se zablokoval překrývajícími se a konfliktní definicemi zásad. Pokud stále potřebujete, aby byl prostředek vytvořen v cílovém oboru, zkontrolujte vyloučení u každého přiřazení a ověřte, že správná přiřazení zásad mají vliv na správné obory.

Další kroky

• Projděte si příklady v ukázkách azure Policy.
• Projděte si strukturu definic Azure Policy.
• Seznamte se s programovým vytvářením zásad.
• Zjistěte, jak získat data dodržování předpisů.
• Zjistěte, jak napravit nevyhovující prostředky.
• Zkontrolujte skupiny pro správu Azure.