Erläuterungen zum Bereich in Azure Policy
Es gibt eine Reihe von Einstellungen, die bestimmen, welche Ressourcen ausgewertet werden können und welche Ressourcen von Azure Policy ausgewertet werden. Das primäre Konzept für diese Steuerungen ist der Bereich. Der Bereich in Azure Policy basiert auf der Funktionsweise des Bereichs in Azure Resource Manager. Eine allgemeine Übersicht finden Sie im Abschnitt „Bereich“ der Übersicht über Azure Resource Manager.
In diesem Artikel werden die Wichtigkeit des Bereichs in Azure Policy und die entsprechenden Objekte und Eigenschaften erläutert.
Definitionsspeicherort
In Azure Policy wird der Bereich erstmals verwendet, wenn eine Richtliniendefinition erstellt wird. Die Definition kann in einer Verwaltungsgruppe oder in einem Abonnement gespeichert werden. Der Speicherort bestimmt den Bereich, dem die Initiative oder Richtlinie zugewiesen werden kann. Ressourcen müssen sich in der Ressourcenhierarchie des Definitionsspeicherorts für die Zuweisung befinden. Die von Azure Policy abgedeckten Ressourcen beschreiben, wie Richtlinien ausgewertet werden.
Für den Definitionsspeicherort gilt Folgendes:
- Abonnement – Das Abonnement, in dem die Richtlinie definiert ist, und Ressourcen innerhalb dieses Abonnements können die Richtliniendefinition zugewiesen werden.
- Verwaltungsgruppe – Die Verwaltungsgruppe, in der die Richtlinie definiert ist, und Ressourcen in untergeordneten Verwaltungsgruppen und untergeordneten Abonnements können der Richtliniendefinition zugewiesen werden. Wenn Sie die Richtliniendefinition auf mehrere Abonnements anwenden möchten, muss der Speicherort eine Verwaltungsgruppe sein, die das jeweilige Abonnement enthält.
Der Speicherort sollte der Ressourcencontainer sein, der von allen vorhandenen Ressourcen gemeinsam genutzt wird, für die Sie die Richtliniendefinition verwenden möchten, sofern vorhanden. Dieser Ressourcencontainer ist in der Regel eine Verwaltungsgruppe in der Nähe der Stammverwaltungsgruppe.
Zuweisungsbereiche
Eine Zuweisung verfügt über mehrere Eigenschaften, die einen Bereich festlegen. Durch die Verwendung dieser Eigenschaften wird festgelegt, welche Ressource für Azure Policy ausgewertet werden soll und welche Ressourcen als konforme Elemente gezählt werden. Diese Eigenschaften entsprechen den folgenden Konzepten:
Einschluss: Eine Ressourcenhierarchie oder eine einzelne Ressource sollte anhand der Definition auf Konformität überprüft werden. Die
properties.scope-Eigenschaft für ein Zuweisungsobjekt bestimmt, was eingeschlossen und auf Konformität überprüft werden soll. Weitere Informationen finden Sie unter Zuweisungsdefinition.Ausschluss: Eine Ressourcenhierarchie oder eine einzelne Ressource soll nicht anhand der Definition auf Konformität überprüft werden. Die Eigenschaft
properties.notScopesarray eines Zuweisungsobjekts bestimmt, was ausgeschlossen werden soll. Ressourcen in diesen Bereichen werden nicht ausgewertet und nicht in die Anzahl konformer Elemente einbezogen. Weitere Informationen finden Sie unter Zuweisungsdefinition – Ausgeschlossene Bereiche.
Zusätzlich zu den Eigenschaften für die Richtlinienzuweisung ist das Richtlinienausnahme-Objekt vorhanden. Ausnahmen erweitern die Bereichsstory, indem sie eine Methode bieten, einen Teil einer Zuweisung zu identifizieren, die nicht bewertet werden soll.
Ausnahme: Durch die Definition wird eine Ressourcenhierarchie oder eine einzelne Ressource auf Konformität überprüft. Sie wird jedoch nicht überprüft, wenn für sie ein Verzicht vorliegt oder wenn sie von einer anderen Methode behandelt wird. Ressourcen in diesem Zustand werden in Konformitätsberichten als Ausnahme angegeben, damit sie nachverfolgt werden können. Das Ausnahmeobjekt wird in der Ressourcenhierarchie oder der einzelnen Ressource als untergeordnetes Objekt erstellt. Dies bestimmt den Bereich der Ausnahme. Eine Ressourcenhierarchie oder eine einzelne Ressource kann von mehreren Zuweisungen ausgenommen werden. Die Ausnahme kann mit der
expiresOn-Eigenschaft so konfiguriert werden, dass sie nach einem Zeitplan abläuft. Weitere Informationen finden Sie unter Ausnahmendefinition.Hinweis
Aufgrund der Auswirkungen des Gewährens einer Ausnahme für eine Ressourcenhierarchie oder einzelne Ressource weisen Ausnahmen zusätzliche Sicherheitsmaßnahmen auf. Es ist nicht nur der
Microsoft.Authorization/policyExemptions/write-Vorgang für die Ressourcenhierarchie oder einzelne Ressource erforderlich, sondern der Ersteller der Ausnahme muss auch über das Verbexempt/Actionfür die Zielzuweisung verfügen.
Bereichsvergleich
Die folgende Tabelle enthält einen Vergleich der Bereichsoptionen:
| Einschluss | Ausschluss (notScopes) | Ausnahme | |
|---|---|---|---|
| Ressourcen werden ausgewertet | ✔ | - | - |
| Resource Manager-Objekt | - | - | ✔ |
| Erfordert das Ändern des Richtlinienzuweisungsobjekts | ✔ | ✔ | - |
Wie können Sie also auswählen, ob Sie einen Ausschluss oder eine Ausnahme verwenden? In der Regel wird empfohlen, die Auswertung für einen breiten Bereich wie eine Testumgebung, die nicht denselben Governancegrad erfordert, dauerhaft zu umgehen. Ausnahmen werden für zeitgebundene oder spezifischere Szenarien empfohlen, in denen eine Ressource oder Ressourcenhierarchie weiterhin nachverfolgt und anderweitig ausgewertet werden sollte, wenn es aber einen bestimmten Grund gibt, warum sie nicht auf Konformität geprüft werden sollte.
Nächste Schritte
- Erfahren Sie mehr über die Struktur von Richtliniendefinitionen.
- Informieren Sie sich über das programmgesteuerte Erstellen von Richtlinien.
- Informieren Sie sich über das Abrufen von Konformitätsdaten.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.
- Weitere Informationen zu Verwaltungsgruppen finden Sie unter Organisieren Ihrer Ressourcen mit Azure-Verwaltungsgruppen.