Co je použitelnost ve službě Azure Policy?
Když je definice zásady přiřazená k oboru, Azure Policy určuje, které prostředky v daném oboru by se měly považovat za vyhodnocení dodržování předpisů. Prostředek se posuzuje pouze v případě, že je považován za použitelný pro dané přiřazení zásad.
Několik faktorů určuje použitelnost:
- Podmínky v
ifbloku pravidla zásad. - Režim definice zásady
- Vyloučené obory zadané v přiřazení
- Selektory zdrojů zadané v přiřazení
- Výjimky prostředků nebo hierarchií prostředků
Podmínky v if bloku pravidla zásad se vyhodnocují z hlediska použitelnosti mírně odlišnými způsoby na základě účinku.
Poznámka:
Použitelnost se liší od dodržování předpisů a logika použitá k určení jednotlivých aplikací se liší. Pokud je prostředek použitelný , znamená to, že je pro zásadu relevantní. Pokud prostředek dodržuje předpisy , znamená to, že dodržuje zásady. Někdy platí pouze určité podmínky z použitelnosti pravidla zásad, zatímco všechny podmínky pravidla zásad mají vliv na stav dodržování předpisů.
Režimy Resource Manageru
efekty zásad ifNotExists
Použitelnost AuditIfNotExists a DeployIfNotExists zásady jsou založeny na celé if podmínce pravidla zásad. Když se if vyhodnotí jako nepravda, zásady se nepoužijí.
Všechny ostatní účinky zásad
Azure Policy vyhodnocuje pouze typepodmínky namea kind podmínky ve výrazu pravidla if zásad a považuje ostatní podmínky za pravdivé (nebo nepravda při negated). Pokud je výsledek konečného vyhodnocení pravdivý, je zásada použitelná. Jinak se to nedá použít.
Tady jsou zvláštní případy dříve popsané logiky použitelnosti:
| Scénář | Výsledek |
|---|---|
Všechny neplatné aliasy v if podmínkách |
Zásady se nepoužijí. |
Pokud se if podmínky skládají pouze z kind podmínek |
Zásada se vztahuje na všechny prostředky. |
Pokud se if podmínky skládají pouze z name podmínek |
Zásada se vztahuje na všechny prostředky. |
Pokud se if podmínky skládají pouze type z podmínek a kind podmínek |
Při rozhodování o použitelnosti se považují pouze type podmínky. |
Pokud se if podmínky skládají pouze type z podmínek a name podmínek |
Při rozhodování o použitelnosti se považují pouze type podmínky. |
Pokud se if podmínky skládají z type, kinda dalších podmínek |
Při rozhodování o použitelnosti se při rozhodování o použitelnosti považují obě type podmínky a kind podmínky |
Pokud se if podmínky skládají z type, namea dalších podmínek |
Při rozhodování o použitelnosti se při rozhodování o použitelnosti považují obě type podmínky a name podmínky |
Pokud všechny podmínky (včetně parametrů nasazení) obsahují podmínku location |
Nevztahuje se na předplatná |
Režimy poskytovatele prostředků
Microsoft.Kubernetes.Data
Použitelnost Microsoft.Kubernetes.Data zásad je založená na celé if podmínce pravidla zásad. Když se if vyhodnotí jako nepravda, zásady se nepoužijí.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data a Microsoft.MachineLearningServices.v2.Data
Zásady s těmito režimy poskytovatele prostředků platí, pokud type se podmínka pravidla zásad vyhodnotí jako true. Odkazuje type na typ komponenty.
Typy komponent služby Key Vault:
Microsoft.KeyVault.Data/vaults/certificatesMicrosoft.KeyVault.Data/vaults/keysMicrosoft.KeyVault.Data/vaults/secrets
Typ komponenty modulu hardwarového zabezpečení (HSM):
Microsoft.ManagedHSM.Data/managedHsms/keys
Typ komponenty Azure Data Factory:
Microsoft.DataFactory.Data/factories/outboundTraffic
Typ komponenty Azure Machine Learning:
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Zásady s režimem Microsoft.Network.Data platí, pokud type name se podmínky pravidla zásady vyhodnotí jako pravdivé. Odkazuje type na typ komponenty:
Microsoft.Network/virtualNetworks
Nepoužitelné prostředky
Můžou nastat situace, kdy se zdroje vztahují na přiřazení na základě podmínek nebo rozsahu, ale neměly by být použitelné z obchodních důvodů. V té době by bylo nejlepší použít vyloučení nebo výjimky. Další informace o tom, kdy použít některý z těchto typů, najdete v porovnání rozsahu.
Poznámka:
Azure Policy záměrně nevyhodnocuje prostředky v rámci Microsoft.Resources poskytovatele prostředků z vyhodnocení zásad s výjimkou předplatných a skupin prostředků.
Další kroky
- Zjistěte, jak označit prostředky jako nepoužitelné.
- Další informace o omezení použitelnosti
- Zjistěte, jak získat data o dodržování předpisů u prostředků Azure.
- Projděte si aktualizaci v dodržování zásad dodržování předpisů pro zásady typu prostředku.