Descripción del ámbito en Azure Policy
Hay muchos valores que determinan qué recursos se pueden evaluar y qué recursos se evalúan mediante Azure Policy. El concepto principal de estos controles es el ámbito. El ámbito de Azure Policy se basa en cómo funciona el ámbito en Azure Resource Manager. Para obtener información general, consulte Ámbito en Azure Resource Manager.
En este artículo se explica la importancia del ámbito en Azure Policy, así como sus objetos y propiedades relacionados.
Ubicación de definición
Azure Policy usa el primer ámbito de instancia cuando se crea una definición de directiva. La definición se puede guardar en un grupo de administración o una suscripción. La ubicación determina el ámbito al que pueden asignarse la directiva o la iniciativa. Los recursos deben estar dentro de la jerarquía de recursos de la ubicación de la definición para que puedan ser objetivo de la asignación. Los recursos cubiertos por Azure Policy describen cómo se evalúan las directivas.
Si la ubicación de la definición es:
- Suscripción: la suscripción donde se define la directiva y los recursos de esa suscripción se pueden asignar a la definición de directiva.
- Grupo de administración: el grupo de administración en el que se define la directiva y los recursos de los grupos de administración secundarios y las suscripciones secundarias se pueden asignar a la definición de directiva. Si planea aplicar la definición de directiva a varias suscripciones, la ubicación debe ser un grupo de administración que contenga esas suscripciones.
La ubicación debe ser el contenedor de recursos compartido por todos los recursos en los que desee usar la definición de directiva. Este contenedor de recursos suele ser un grupo de administración próximo al grupo de administración raíz.
Ámbitos de asignación
Una asignación tiene varias propiedades que establecen un ámbito. El uso de estas propiedades determina qué recursos de Azure Policy se evalúan y cuáles cuentan para el cumplimiento. Estas propiedades se corresponden con los conceptos siguientes:
Inclusión: la definición debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual. La propiedad
properties.scopede un objeto de asignación determina qué se va a incluir y evaluar en términos de cumplimiento. Para obtener más información, consulte Definición de asignación.Exclusión: la definición no debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual. La propiedad
properties.notScopesde la matriz de un objeto de asignación determina qué se excluye. Los recursos incluidos en esos ámbitos no se evalúan ni se incluyen en el recuento de cumplimiento. Para obtener más información, consulte Definición de asignación: ámbitos excluidos.
Además de las propiedades de la asignación de directiva, es el objeto de exención de directiva. Las exenciones mejoran la historia del ámbito proporcionando un método para identificar una parte de una asignación que no se va a evaluar.
Exención: la definición debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual, pero no lo hará si hay motivos como tener una exención o ser mitigado por otro método. Los recursos con este estado se muestran como Exentos en los informes de cumplimiento, para que se pueda realizar el seguimiento. El objeto de exención se crea en la jerarquía de recursos o en el recurso individual como un objeto secundario, que determina el ámbito de la exención. Una jerarquía de recursos o un recurso individual pueden estar exentos de varias asignaciones. La exención puede configurarse para que expire según una programación mediante la propiedad
expiresOn. Para obtener más información, consulte Definición de exención.Nota
Debido al impacto que supone conceder una exención para una jerarquía de recursos o un recurso individual, las exenciones tienen medidas de seguridad adicionales. Además de exigir la operación
Microsoft.Authorization/policyExemptions/writeen la jerarquía de recursos o en el recurso individual, el creador de una exención debe tener el verboexempt/Actionen la asignación de destino.
Comparación de ámbitos
En la tabla siguiente se presenta una comparación de las opciones de ámbito:
| Inclusión | Exclusión (notScopes) | Exención | |
|---|---|---|---|
| Los recursos se evalúan | ✔ | - | - |
| Objeto de Resource Manager | - | - | ✔ |
| Requiere la modificación del objeto de asignación de directiva | ✔ | ✔ | - |
¿Cómo elegir si desea usar una exclusión o una exención? Normalmente, se recomiendan exclusiones para omitir permanentemente la evaluación de un ámbito amplio, como un entorno de prueba que no requiere el mismo nivel de gobernanza. Se recomiendan exenciones para escenarios limitados a tiempo o más específicos en los que un recurso o jerarquía de recursos debe seguir siendo objeto de seguimiento y, de otro modo, se evaluaría, pero existe una razón específica por la que no se debe evaluar para el cumplimiento.
Pasos siguientes
- Más información sobre la estructura de la definición de directiva.
- Obtenga información acerca de cómo se pueden crear directivas mediante programación.
- Obtenga información sobre cómo obtener datos de cumplimiento.
- Obtenga información sobre cómo corregir recursos no compatibles.
- En Organización de los recursos con grupos de administración de Azure, obtendrá información sobre lo que es un grupo de administración.