¿Qué es la aplicabilidad en Azure Policy?
Cuando se asigna una definición de directiva a un ámbito, Azure Policy determina qué recursos de ese ámbito se deben tener en cuenta para la evaluación de cumplimiento. El cumplimiento de un recurso solo se evaluará si se considera aplicable a la asignación de la directiva especificada.
Existen varios factores que determinan la aplicabilidad:
- Condiciones en el bloque
ifde la regla de directiva. - Modo de la definición de la política.
- Ámbitos excluidos especificados en la asignación.
- Selectores de recursos especificados en la asignación.
- Exenciones de recursos o jerarquías de recursos.
La aplicabilidad de las condiciones del bloque if de la regla de la directiva se evalúa de maneras ligeramente diferentes en función del efecto.
Nota
La aplicabilidad es diferente del cumplimiento, y la lógica que se usa para determinar cada factor es diferente. Si un recurso es aplicable, significa que es relevante para la directiva. Si un recurso es compatible, significa que cumple la directiva. A veces, solo determinadas condiciones de la regla de la directiva afectan a la aplicabilidad, mientras que todas las condiciones de la regla de la directiva afectan al estado de cumplimiento.
Modos de Resource Manager
-IfNotExists efectos de la directiva
La aplicabilidad de las directivas AuditIfNotExists y DeployIfNotExists se basa en toda la condición if de la regla de directiva. Cuando if se evalúa como false, la directiva no es aplicable.
Todos los demás efectos de directiva
Azure Policy evalúa solo las condiciones type, name y kind en la expresión if de la regla de la directiva y trata otras condiciones como true (o false cuando se niega). Si el resultado final de la evaluación es true, la directiva es aplicable. De lo contrario, no es aplicable.
A continuación se muestran casos especiales para la lógica de aplicabilidad descrita anteriormente:
| Escenario | Resultado |
|---|---|
Cualquier alias no válido en las condiciones if |
La directiva no es aplicable |
Cuando las condiciones ifconstan solo de condiciones kind |
La directiva es aplicable a todos los recursos |
Cuando las condiciones ifconstan solo de condiciones name |
La directiva es aplicable a todos los recursos |
Cuando las condiciones if constan solo de condiciones type y kind |
Solo se tienen en cuenta las condiciones type al decidir la aplicabilidad |
Cuando las condiciones if constan solo de condiciones type y name |
Solo se tienen en cuenta las condiciones type al decidir la aplicabilidad |
Cuando las condiciones if constan solo de condiciones type y kind y otras condiciones |
Las condiciones type y kind se tienen en cuenta al decidir la aplicabilidad |
Cuando las condiciones if constan solo de condiciones type y name y otras condiciones |
Las condiciones type y name se tienen en cuenta al decidir la aplicabilidad |
Cuando las condiciones (incluidos los parámetros de implementación) incluyen una condición location |
No se aplicará a las suscripciones |
Modos del proveedor de recursos
Microsoft.Kubernetes.Data
La aplicabilidad de las directivas Microsoft.Kubernetes.Data y if se basa en toda la condición de la regla de directiva. Cuando if se evalúa como false, la directiva no es aplicable.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data y Microsoft.MachineLearningServices.v2.Data
Las directivas con estos modos de RP son aplicables si la condición type de la regla de directiva se evalúa como true. type hace referencia al tipo de componente, como:
Tipos de componentes Key Vault:
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
Tipo de componente de administración de HSM:
- Microsoft.ManagedHSM.Data/managedHsms/keys
Tipo de componente de Azure Data Factory:
- Microsoft.DataFactory.Data/factories/outboundTraffic
Tipo de componente de Azure Machine Learning:
- Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Las directivas con modo Microsoft.Network.Data son aplicables si la condición type y namede la regla de directiva se evalúan como true. type hace referencia al tipo de componente, como:
- Microsoft.Network/virtualNetworks
Recursos no aplicables
Podría haber situaciones en las que los recursos son aplicables a una asignación en función de las condiciones o el ámbito, pero no deben ser aplicables debido a razones empresariales. En ese momento, sería mejor aplicar exclusiones o exenciones. Para más información sobre cuándo usar cualquiera de las dos opciones, revise la comparación de ámbitos.
Nota:
Por diseño, Azure Policy no evalúa los recursos en el proveedor de recursos (RP) Microsoft.Resources de la evaluación de directivas, excepto las suscripciones y los grupos de recursos.
Pasos siguientes
- Obtenga información sobre cómo marcar los recursos como no aplicables.
- Más información sobre las limitaciones de aplicabilidad
- Consulte información sobre la Obtención de datos de cumplimiento de los recursos de Azure.
- Revise la actualización de cumplimiento de directivas para las directivas de tipo de recurso.