Compartir vía


¿Qué es la aplicabilidad en Azure Policy?

Cuando se asigna una definición de directiva a un ámbito, Azure Policy determina qué recursos de ese ámbito se deben tener en cuenta para la evaluación de cumplimiento. El cumplimiento de un recurso solo se evaluará si se considera aplicable a la asignación de la directiva especificada.

Existen varios factores que determinan la aplicabilidad:

  • Condiciones en el bloque if de la regla de directiva.
  • Modo de la definición de la política.
  • Ámbitos excluidos especificados en la asignación.
  • Selectores de recursos especificados en la asignación.
  • Exenciones de recursos o jerarquías de recursos.

La aplicabilidad de las condiciones del bloque if de la regla de la directiva se evalúa de maneras ligeramente diferentes en función del efecto.

Nota

La aplicabilidad es diferente del cumplimiento, y la lógica que se usa para determinar cada factor es diferente. Si un recurso es aplicable, significa que es relevante para la directiva. Si un recurso es compatible, significa que cumple la directiva. A veces, solo determinadas condiciones de la regla de la directiva afectan a la aplicabilidad, mientras que todas las condiciones de la regla de la directiva afectan al estado de cumplimiento.

Modos de Resource Manager

-IfNotExists efectos de la directiva

La aplicabilidad de las directivas AuditIfNotExists y DeployIfNotExists se basa en toda la condición if de la regla de directiva. Cuando if se evalúa como false, la directiva no es aplicable.

Todos los demás efectos de directiva

Azure Policy evalúa solo las condiciones type, name y kind en la expresión if de la regla de la directiva y trata otras condiciones como true (o false cuando se niega). Si el resultado final de la evaluación es true, la directiva es aplicable. De lo contrario, no es aplicable.

A continuación se muestran casos especiales para la lógica de aplicabilidad descrita anteriormente:

Escenario Resultado
Cualquier alias no válido en las condiciones if La directiva no es aplicable
Cuando las condiciones ifconstan solo de condiciones kind La directiva es aplicable a todos los recursos
Cuando las condiciones ifconstan solo de condiciones name La directiva es aplicable a todos los recursos
Cuando las condiciones if constan solo de condiciones type y kind Solo se tienen en cuenta las condiciones type al decidir la aplicabilidad
Cuando las condiciones if constan solo de condiciones type y name Solo se tienen en cuenta las condiciones type al decidir la aplicabilidad
Cuando las condiciones if constan solo de condiciones type y kind y otras condiciones Las condiciones type y kind se tienen en cuenta al decidir la aplicabilidad
Cuando las condiciones if constan solo de condiciones type y name y otras condiciones Las condiciones type y name se tienen en cuenta al decidir la aplicabilidad
Cuando las condiciones (incluidos los parámetros de implementación) incluyen una condición location No se aplicará a las suscripciones

Modos del proveedor de recursos

Microsoft.Kubernetes.Data

La aplicabilidad de las directivas Microsoft.Kubernetes.Data y if se basa en toda la condición de la regla de directiva. Cuando if se evalúa como false, la directiva no es aplicable.

Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data y Microsoft.MachineLearningServices.v2.Data

Las directivas con estos modos de RP son aplicables si la condición type de la regla de directiva se evalúa como true. type hace referencia al tipo de componente, como:

Tipos de componentes Key Vault:

  • Microsoft.KeyVault.Data/vaults/certificates
  • Microsoft.KeyVault.Data/vaults/keys
  • Microsoft.KeyVault.Data/vaults/secrets

Tipo de componente de administración de HSM:

  • Microsoft.ManagedHSM.Data/managedHsms/keys

Tipo de componente de Azure Data Factory:

  • Microsoft.DataFactory.Data/factories/outboundTraffic

Tipo de componente de Azure Machine Learning:

  • Microsoft.MachineLearningServices.v2.Data/workspaces/deployments

Microsoft.Network.Data

Las directivas con modo Microsoft.Network.Data son aplicables si la condición type y namede la regla de directiva se evalúan como true. type hace referencia al tipo de componente, como:

  • Microsoft.Network/virtualNetworks

Recursos no aplicables

Podría haber situaciones en las que los recursos son aplicables a una asignación en función de las condiciones o el ámbito, pero no deben ser aplicables debido a razones empresariales. En ese momento, sería mejor aplicar exclusiones o exenciones. Para más información sobre cuándo usar cualquiera de las dos opciones, revise la comparación de ámbitos.

Nota:

Por diseño, Azure Policy no evalúa los recursos en el proveedor de recursos (RP) Microsoft.Resources de la evaluación de directivas, excepto las suscripciones y los grupos de recursos.

Pasos siguientes