Estados de cumplimiento de Azure Policy
Cómo funciona el cumplimiento
Cuando se asignan definiciones de iniciativa o directiva, Azure Policy determina qué recursos son aplicables después evalúa los recursos que no están excluidos o exentos. La evaluación suspende estados de cumplimiento basados en las condiciones de la regla de directiva y en la adhesión de cada recurso a esos requisitos.
Estados de cumplimiento disponibles
Incompatible
Las asignaciones de directiva con efectos audit, auditIfNotExists, o modify se consideran no compatibles con los recursos nuevos, actualizados o existentes cuando las condiciones de la regla de directiva se evalúan como TRUE.
Las asignaciones de directiva con efectos append, deny y deployIfNotExists se consideran no compatibles con los recursos existentes cuando las condiciones de la regla de directiva se evalúan como TRUE. Los recursos nuevos y actualizados se corrigen o se deniegan automáticamente en el momento de la solicitud para aplicar el cumplimiento. Cuando se actualiza un recurso no compatible existente anteriormente, el estado de cumplimiento sigue siendo no conforme hasta que se complete la implementación de recursos y la evaluación de directivas.
Nota:
Los efectos deployIfNotExists y auditIfNotExists requieren que la instrucción SI sea VERDADERO y la condición de existencia sea FALSO para que no sea compatible. Si es TRUE, la condición IF desencadena la evaluación de la condición de existencia de los recursos relacionados.
Las asignaciones de directivas con efectos manual se consideran no compatibles en dos circunstancias:
- La definición de directiva tiene un estado de cumplimiento predeterminado de no compatible y no hay una atestación activa para el recurso aplicable que indica lo contrario.
- El recurso se atestigua como no compatible.
Para determinar el motivo por el que un recurso no es compatible o para encontrar el cambio responsable, consulte Determinar las causas de la falta de cumplimiento. Para corregir los recursos no compatibles para las directivas deployIfNotExists y modify, consulte Corrección de recursos no compatibles con Azure Policy.
Compatible
Las asignaciones de directiva con efectos append, audit, auditIfNotExists, deny, deployIfNotExists, o modify se consideran compatibles con los recursos nuevos, actualizados o existentes cuando las condiciones de la regla de directiva se evalúan como FALSE.
Las asignaciones de directivas con efectos manual se consideran compatibles en dos circunstancias:
- La definición de directiva tiene un estado de cumplimiento predeterminado de compatible y no hay una atestación activa para el recurso aplicable que indica lo contrario.
- El recurso se atestigua como compatible.
Error
El estado de cumplimiento de errores se proporciona a las asignaciones de directivas que generan un error del sistema, como un error de plantilla o evaluación.
en conflicto
Una asignación de directiva se considera en conflicto cuando hay dos o más asignaciones de directiva existentes en el mismo ámbito con reglas contrarias o conflictivas. Por ejemplo, dos definiciones que anexan la misma etiqueta con valores diferentes.
Exento
Un recurso aplicable tiene un estado de cumplimiento exento para una asignación de directiva cuando está en el ámbito de una excepción.
Nota
La excepción es diferente de la excluida. Para más información, consulte Descripción del ámbito en Azure Policy.
Unknown
Desconocido es el estado de cumplimiento predeterminado para las definiciones con efecto manual, a menos que el valor predeterminado se establezca explícitamente en compatible o no compatible. Este estado indica que se garantiza una atestación de cumplimiento. Este estado de cumplimiento solo se produce para las asignaciones de directivas con el efecto manual.
Protegido
El estado protegido indica que el recurso se trata en una asignación con un efecto denyAction.
No registrado.
Este estado de cumplimiento es visible en Azure Portal cuando el proveedor de recursos de Azure Policy no está registrado o cuando la cuenta con sesión iniciada no tiene permiso para leer los datos de cumplimiento.
Nota:
Si se notifica el estado de cumplimiento como No registrado, compruebe que el proveedor de recursos de Microsoft.PolicyInsights está registrado y que el usuario tenga los permisos de control de acceso basado en rol (RBAC de Azure) adecuados, tal como se describe en Permisos de RBAC de Azure en Azure Policy.
Para registrar Microsoft.PolicyInsights, siga los pasos descritos en Proveedores de recursos y tipos de Azure.
Sin iniciar
Este estado de cumplimiento indica que el ciclo de evaluación no se inicia para la directiva o el recurso.
Ejemplo
Ahora que comprende qué estados de cumplimiento existen y qué significa cada uno, echemos un vistazo a un ejemplo con estados compatibles y no compatibles.
Suponga que tiene un grupo de recursos (ContosoRG) con varias cuentas de almacenamiento (resaltadas en rojo) expuestas a redes públicas.
Diagrama que muestra imágenes de cinco cuentas de almacenamiento en el grupo de recursos Contoso R G. Las cuentas de almacenamiento una y tres son azules, mientras que las cuentas de almacenamiento dos, cuatro y cinco son rojas.
En este ejemplo, debe tener cuidado con los riesgos de seguridad. Supongamos que asigna una definición de directiva que audita las cuentas de almacenamiento expuestas a redes públicas y que no se crean excepciones para esta asignación. La directiva comprueba si hay recursos aplicables (lo que incluye todas las cuentas de almacenamiento del grupo de recursos ContosoRG) y, a continuación, evalúa los recursos que no están excluidos de la evaluación. Audita las tres cuentas de almacenamiento expuestas a redes públicas, cambiando sus estados de cumplimiento a no compatibles. Los restos se marcan como compatibles.
Diagrama que muestra imágenes de cinco cuentas de almacenamiento en el grupo de recursos Contoso R G. Las cuentas de almacenamiento uno y tres ahora tienen marcas de verificación verdes debajo, mientras que las cuentas de almacenamiento dos, cuatro y cinco ahora tienen signos de advertencia rojos debajo.
Paquete acumulativo de cumplimiento
El estado de cumplimiento se determina por recurso y por asignación de directiva. Sin embargo, a menudo necesitamos una visión general del estado del entorno, que es donde entra en juego el cumplimiento agregado.
Hay varias maneras de ver los resultados de cumplimiento agregados en el portal:
| Vista de cumplimiento agregado | Factores que determinan el estado de cumplimiento |
|---|---|
| Ámbito | Todas las directivas dentro del ámbito seleccionado |
| Iniciativa | Todas las directivas de la iniciativa |
| Grupo o control de iniciativas | Todas las directivas del grupo o control |
| Directiva de | Todos los recursos aplicables |
| Resource | Todas las directivas aplicables |
Comparación de diferentes estados de cumplimiento
Por lo tanto, ¿cómo se determina el estado de cumplimiento agregado si varios recursos o directivas tienen diferentes estados de cumplimiento? Azure Policy clasifica cada estado de cumplimiento para que uno prevalezca sobre otro en esta situación. El orden de clasificación es:
- Incompatible
- Compatible
- Error
- en conflicto
- Protegido (versión preliminar)
- Exento
- Desconocido (versión preliminar)
Nota
No iniciado y no registrado no se consideran en los cálculos acumulativos de cumplimiento.
Con este orden de clasificación, si hay estados no compatibles y conformes, el agregado inscrito sería no conforme, etc. Veamos un ejemplo:
Supongamos que una iniciativa contiene 10 directivas y un recurso está exento de una directiva, pero es compatible con las nueve restantes. Dado que un estado compatible tiene una clasificación más alta que un estado exento, el recurso se registraría como compatible en el resumen acumulado de la iniciativa. Así, un recurso solo aparece como exento para toda la iniciativa si está exento o tiene un cumplimiento desconocido para todas las demás directivas aplicables en esa iniciativa. Por otro lado, un recurso que no es compatible con al menos una directiva aplicable en la iniciativa, tiene un estado de cumplimiento general de no compatible, con independencia del resto de directivas aplicables.
Porcentaje de cumplimiento
El porcentaje de cumplimiento se determina dividiendo los recursos compatibles, exentos y desconocidos entre los recursos totales. Los recursos totales incluyen aquellos recursos con estados Compatible, No compatible, Desconocido, Exento, En conflicto y Error.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
En la imagen que se muestra, hay 20 recursos diferentes que son aplicables y solo uno es No compatible. Por tanto, el cumplimiento general de los recursos es del 95 % (19 de 20).
Pasos siguientes
- Obtenga información sobre cómo obtener datos de cumplimiento
- Obtenga información sobre cómo determinar las causas de no cumplimiento
- Obtener datos de cumplimiento a través de Consultas de ejemplo de Azure Resource Graph para Azure Policy