Descripción del ámbito en Azure Policy
Hay muchas opciones de configuración que determinan qué recursos son capaces de evaluarse y qué recursos evalúa Azure Policy. El concepto principal de estos controles es el ámbito. El ámbito de Azure Policy se basa en cómo funciona el ámbito en Azure Resource Manager. Para obtener información general, consulte Ámbito en Azure Resource Manager.
En este artículo se explica la importancia de ámbito en Azure Policy y los objetos y propiedades relacionados.
Ubicación de definición
Azure Policy usa el primer ámbito de instancia cuando se crea una definición de directiva. La definición se puede guardar en un grupo de administración o en una suscripción. La ubicación determina el ámbito al que pueden asignarse la directiva o la iniciativa. Los recursos deben estar dentro de la jerarquía de recursos de la ubicación de la definición para que puedan ser objetivo de la asignación. Los recursos cubiertos por Azure Policy describen cómo se evalúan las directivas.
Si la ubicación de la definición es:
- Suscripción: la suscripción donde se define la directiva y los recursos de esa suscripción se pueden asignar a la definición de directiva.
- Grupo de administración: el grupo de administración donde se define la directiva y los recursos de los grupos de administración secundarios y las suscripciones secundarias se pueden asignar a la definición de directiva. Si planea aplicar la definición de directiva a varias suscripciones, la ubicación debe ser un grupo de administración que contenga esas suscripciones.
La ubicación debe ser el contenedor de recursos compartido por todos los recursos en los que desee usar la definición de directiva. Este contenedor de recursos suele ser un grupo de administración próximo al grupo de administración raíz.
Ámbitos de asignación
Una asignación tiene varias propiedades que establecen un ámbito. El uso de estas propiedades determina qué recursos de Azure Policy se evalúan y cuáles cuentan para el cumplimiento. Estas propiedades se corresponden con los conceptos siguientes:
- Inclusión: una definición evalúa el cumplimiento de una jerarquía de recursos o de un recurso individual. El ámbito del objeto de asignación determina qué incluir y evaluar para el cumplimiento. Para más información, consulte la Estructura de asignación de Azure Policy.
- Exclusión: una definición no debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual. La propiedad
properties.notScopesde la matriz de un objeto de asignación determina qué se excluye. Los recursos incluidos en esos ámbitos no se evalúan ni se incluyen en el recuento de cumplimiento. Para más información, consulte la Estructura de asignación de Azure Policy excluye ámbitos.
Además de las propiedades de la asignación de directivas, es la estructura de exención del objeto de Azure Policy. Las exenciones mejoran la historia del ámbito proporcionando un método para identificar una parte de una asignación que no se va a evaluar.
Exención: una definición evalúa el cumplimiento de una jerarquía de recursos o de un recurso individual, pero no se evalúa por un motivo como una exención o mitigación a través de otro método. Los recursos con este estado se muestran como Exentos en los informes de cumplimiento, para que se pueda realizar el seguimiento. El objeto de exención se crea en la jerarquía de recursos o en el recurso individual como un objeto secundario, que determina el ámbito de la exención. Una jerarquía de recursos o un recurso individual pueden estar exentos de varias asignaciones. La exención puede configurarse para que expire según una programación mediante la propiedad expiresOn. Para más información, consulte la Estructura de exención de Azure Policy.
Nota:
Debido al impacto que supone conceder una exención para una jerarquía de recursos o un recurso individual, las exenciones tienen medidas de seguridad adicionales. Además de exigir la operación Microsoft.Authorization/policyExemptions/write en la jerarquía de recursos o en el recurso individual, el creador de una exención debe tener el verbo exempt/Action en la asignación de destino.
Comparación de ámbitos
En la tabla siguiente se presenta una comparación de las opciones de ámbito:
| Recursos | Inclusión | Exclusión (notScopes) | Exención |
|---|---|---|---|
| Los recursos se evalúan | ✔ | - | - |
| Objeto de Resource Manager | - | - | ✔ |
| Requiere la modificación del objeto de asignación de directiva | ✔ | ✔ | - |
¿Cómo elegir si desea usar una exclusión o una exención? Normalmente, se recomiendan exclusiones para omitir permanentemente la evaluación de un ámbito amplio, como un entorno de prueba que no requiere el mismo nivel de gobernanza. Se recomiendan exenciones para escenarios limitados a tiempo o más específicos en los que un recurso o jerarquía de recursos debe seguir siendo objeto de seguimiento y, de otro modo, se evaluaría, pero existe una razón específica por la que no se debe evaluar para el cumplimiento.
Pasos siguientes
- Más información sobre la estructura de la definición de directiva.
- Obtenga información acerca de cómo se pueden crear directivas mediante programación.
- Obtenga información sobre cómo obtener datos de cumplimiento.
- Obtenga información sobre cómo corregir recursos no compatibles.
- Obtenga más información sobre cómo Organizar los recursos con grupos de administración de Azure.