Estados de cumplimiento de Azure Policy
Cómo funciona el cumplimiento
Cuando se asignan definiciones de iniciativa o directiva, Azure Policy determina qué recursos son aplicables y, a continuación, evalúa los que no han sido excluidos o exentos. La evaluación suspende estados de cumplimiento basados en las condiciones de la regla de directiva y en la adhesión de cada recurso a esos requisitos.
Estados de cumplimiento disponibles
Incompatible
Las asignaciones de directiva con efectos audit, auditIfNotExists, o modify se consideran no compatibles con los recursos nuevos, actualizados o existentes cuando las condiciones de la regla de directiva se evalúan como TRUE.
Las asignaciones de directiva con efectos append, deny y deployIfNotExists se consideran no compatibles con los recursos existentes cuando las condiciones de la regla de directiva se evalúan como TRUE. Los recursos nuevos y actualizados se corrigen o se deniegan automáticamente en el momento de la solicitud para aplicar el cumplimiento. Cuando se actualiza un recurso no compatible existente anteriormente, el estado de cumplimiento sigue siendo no conforme hasta que se complete la implementación de recursos y la evaluación de directivas.
Nota
Los efectos de DeployIfNotExist y AuditIfNotExist requieren que la instrucción IF sea TRUE y que la condición de existencia sea FALSE para que no sea compatible. Si es TRUE, la condición IF desencadena la evaluación de la condición de existencia de los recursos relacionados.
Las asignaciones de directivas con efectos manual se consideran no compatibles en dos circunstancias:
- La definición de directiva tiene un estado de cumplimiento predeterminado de no compatible y no hay unaatestación activa para el recurso aplicable que indica lo contrario.
- El recurso se ha atestiguado como no compatible.
Para determinar el motivo de que un recurso no sea compatible o para buscar el responsable del cambio, consulte Determinación del incumplimiento. Para corregir los recursos no compatibles para las directivas deployIfNotExists y modify, consulte Corrección de recursos no compatibles con Azure Policy.
Compatible
Las asignaciones de directiva con efectos append, audit, auditIfNotExists, deny, deployIfNotExists, o modify se consideran compatibles con los recursos nuevos, actualizados o existentes cuando las condiciones de la regla de directiva se evalúan como FALSE.
Las asignaciones de directivas con efectos manual se consideran compatibles en dos circunstancias:
- La definición de directiva tiene un estado de cumplimiento predeterminado de compatible y no hay unaatestación activa para el recurso aplicable que indica lo contrario.
- El recurso se ha certificado como compatible.
Error
El estado de cumplimiento de errores se proporciona a las asignaciones de directivas que generan un error del sistema, como un error de plantilla o evaluación.
en conflicto
Una asignación de directiva se considera en conflicto cuando hay dos o más asignaciones de directiva existentes en el mismo ámbito con reglas contrarias o conflictivas. Por ejemplo, dos definiciones que anexan la misma etiqueta con valores diferentes.
Exento
Un recurso aplicable tiene un estado de cumplimiento exento para una asignación de directiva cuando está en el ámbito de una excepción.
Nota
La excepción es diferente de la excluida. Para más información, consulte ámbito.
Unknown
Desconocido es el estado de cumplimiento predeterminado para las definiciones con efecto manual, a menos que el valor predeterminado se haya establecido explícitamente en compatible o no compatible. Este estado indica que se garantiza una atestación de cumplimiento. Este estado de cumplimiento solo se produce para las asignaciones de directivas con el efecto manual.
Protegido
El estado protegido indica que el recurso se trata en una asignación con un efecto denyAction.
No registrado.
Este estado de cumplimiento es visible en el portal cuando no se ha registrado el Proveedor de recursos de Azure Policy o cuando la cuenta que ha iniciado sesión no tiene permisos para leer los datos de cumplimiento.
Nota
Si el estado de cumplimiento se notifica como No registrado, compruebe que el proveedor de recursos Microsoft.PolicyInsights esté registrado y que el usuario tenga los permisos de control de acceso basado en roles de Azure (Azure RBAC) adecuados, tal como se describe en los permisos de Azure RBAC en Azure Policy. Para registrar Microsoft.PolicyInsights, siga estos pasos.
Sin iniciar
Este estado de cumplimiento indica que el ciclo de evaluación no se ha iniciado para la directiva o el recurso.
Ejemplo
Ahora que comprende qué estados de cumplimiento existen y qué significa cada uno, echemos un vistazo a un ejemplo con estados compatibles y no compatibles.
Suponga que tiene un grupo de recursos (ContosoRG) con varias cuentas de almacenamiento (resaltadas en rojo) expuestas a redes públicas.
Diagrama que muestra imágenes de cinco cuentas de almacenamiento en el grupo de recursos Contoso R G. Las cuentas de almacenamiento una y tres son azules, mientras que las cuentas de almacenamiento dos, cuatro y cinco son rojas.
En este ejemplo, debe tener cuidado con los riesgos de seguridad. Supongamos que asigna una definición de directiva que audita las cuentas de almacenamiento expuestas a redes públicas y que no se crean excepciones para esta asignación. La directiva comprueba si hay recursos aplicables (lo que incluye todas las cuentas de almacenamiento del grupo de recursos ContosoRG) y, a continuación, evalúa los recursos que no están excluidos de la evaluación. Audita las tres cuentas de almacenamiento expuestas a redes públicas, cambiando sus estados de cumplimiento a No compatibles. El resto está marcado como compatible.
Diagrama que muestra imágenes de cinco cuentas de almacenamiento en el grupo de recursos Contoso R G. Las cuentas de almacenamiento uno y tres ahora tienen marcas de verificación verdes debajo, mientras que las cuentas de almacenamiento dos, cuatro y cinco ahora tienen signos de advertencia rojos debajo.
Paquete acumulativo de cumplimiento
El estado de cumplimiento se determina por recurso y por asignación de directiva. Sin embargo, a menudo necesitamos una visión general del estado del entorno, que es donde entra en juego el cumplimiento agregado.
Hay varias maneras de ver los resultados de cumplimiento agregados en el portal:
| Vista de cumplimiento agregado | Factores que determinan el estado de cumplimiento |
|---|---|
| Ámbito | Todas las directivas dentro del ámbito seleccionado |
| Iniciativa | Todas las directivas de la iniciativa |
| Grupo o control de iniciativas | Todas las directivas del grupo o control |
| Directiva de | Todos los recursos aplicables |
| Resource | Todas las directivas aplicables |
Comparación de diferentes estados de cumplimiento
Por lo tanto, ¿cómo se determina el estado de cumplimiento agregado si varios recursos o directivas tienen diferentes estados de cumplimiento? Azure Policy clasifica cada estado de cumplimiento para que uno "gane" a otro en esta situación. El orden de clasificación es:
- Incompatible
- Compatible
- Error
- en conflicto
- Protegido (versión preliminar)
- Exento
- Desconocido (versión preliminar)
Nota
No iniciado y no registrado no se consideran en los cálculos acumulativos de cumplimiento.
Con esta clasificación, si hay estados no compatibles y compatibles, entonces el agregado acumulado sería no compatible, etc. Veamos un ejemplo:
Supongamos que una iniciativa contiene 10 directivas y un recurso está exento de una directiva, pero es compatible con las nueve restantes. Dado que un estado compatible tiene una clasificación más alta que un estado exento, el recurso se registraría como compatible en el resumen acumulado de la iniciativa. Así, un recurso solo aparece como exento para toda la iniciativa si está exento o tiene un cumplimiento desconocido para todas las demás directivas aplicables en esa iniciativa. Por otro lado, un recurso que no es compatible con al menos una directiva aplicable en la iniciativa, tiene un estado de cumplimiento general de no compatible, con independencia del resto de directivas aplicables.
Porcentaje de cumplimiento
El porcentaje de cumplimiento se determina dividiendo los recursos compatibles, exentos y desconocidos entre los recursos totales. Los recursos totales incluyen aquellos recursos con estados Compatible, No compatible, Desconocido, Exento, En conflicto y Error.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
En la imagen que se muestra, hay 20 recursos diferentes que son aplicables y solo uno es No compatible. Por tanto, el cumplimiento general de los recursos es del 95 % (19 de 20).
Pasos siguientes
- Obtenga información sobre cómo obtener datos de cumplimiento
- Obtenga información sobre cómo determinar las causas de no cumplimiento
- Obtención de datos de cumplimiento a través de ejemplos de consultas de ARG