Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
De nombreux paramètres déterminent quelles ressources sont susceptibles d’être évaluées et quelles ressources Azure Policy prend en compte. Le concept principal de ces contrôles est l’étendue. Dans Azure Policy, l’étendue est basée sur le fonctionnement de l’étendue dans Azure Resource Manager. Pour une vue d’ensemble de haut niveau, consultez la section Étendue d’Azure Resource Manager.
Cet article explique l’importance de l’étendue dans Azure Policy et les objets et propriétés qui y sont associés.
Emplacement de la définition
L’étendue utilisée en premier lieu par Azure Policy est la création d’une définition de stratégie, qui doit être enregistrée dans un groupe d’administration ou un abonnement. L’emplacement détermine l’étendue à laquelle l’initiative ou la stratégie peut être affectée. Les ressources doivent faire partie de la hiérarchie de ressources de l’emplacement de la définition à cibler pour l’affectation. Les ressources incluses dans Azure Policy précisent la manière dont les stratégies sont examinées.
Si l’emplacement de la définition est l’un ou l’autre élément suivant :
- Abonnement : abonnement dans lequel la stratégie est définie et auquel les ressources correspondantes peuvent recevoir l’attribution de la définition de stratégie.
- Groupe d’administration : groupe d’administration dans lequel la stratégie est définie et auquel les ressources des groupes d’administration enfants ainsi que des abonnements enfants peuvent recevoir l’attribution de la définition de stratégie. Si vous voulez appliquer la définition de stratégie à plusieurs abonnements, l’emplacement doit correspondre à un groupe d’administration comportant chaque abonnement.
L’emplacement doit être le conteneur de ressources partagé par toutes les ressources sur lequel vous souhaitez utiliser la définition de stratégie. Ce conteneur de ressources est généralement un groupe d’administration proche du groupe d’administration racine.
Étendues d’affectation
Plusieurs propriétés d’une affectation définissent une étendue. L’utilisation de ces propriétés détermine quelles ressources doivent être évaluées par Azure Policy et quelles ressources sont prises en compte pour la conformité. Ces propriétés sont liées aux concepts suivants :
- Inclusion : une définition analyse la conformité d’une hiérarchie de ressources ou d’une ressource isolée. L’étendue de l’objet d’affectation précise les éléments devant être inclus et contrôlés pour la conformité. Pour plus d’informations, consultez Structure d’affectation Azure Policy.
- Exclusion : une définition ne doit pas contrôler la conformité d’une hiérarchie de ressources ou d’une ressource isolée. La propriété de tableau
properties.notScopessur un objet d’affectation détermine les ressources à exclure. Les ressources comprises dans ces étendues ne sont pas évaluées ou incluses dans le décompte de conformité. Pour plus d’informations, consultez Extensions de l’affectation Azure Policy exclues.
En complément des propriétés de l’affectation de stratégie, l’objet Structure d’exemption Azure Policy est disponible. Les exemptions améliorent le scénario d'étendue en fournissant une méthode qui permet d'identifier une partie à ne pas évaluer au sein d'une affectation.
Exemption : une définition examine la conformité d’une hiérarchie de ressources ou d’une ressource isolée, mais ne la contrôle pas pour une raison telle qu’une dérogation ou une mesure d’atténuation appliquée par une autre méthode. Les ressources dans cet état apparaissent comme Exemptées dans les rapports de conformité afin de pouvoir être suivies. L’objet d’exemption est créé sur la hiérarchie de ressources ou la ressource individuelle en tant qu’objet enfant, afin de déterminer l’étendue de l’exemption. Une hiérarchie de ressources ou une ressource individuelle peuvent être exemptes de plusieurs affectations. L’exemption peut être paramétrée pour expirer selon un calendrier défini grâce à la propriété expiresOn. Pour plus d’informations, consultez Structure d’exemption Azure Policy.
Remarque
En raison de l’impact de l’octroi d’une exemption pour une hiérarchie de ressources ou une ressource individuelle, les exemptions comportent des mesures de sécurité supplémentaires. Au-delà de la nécessité de l’opération Microsoft.Authorization/policyExemptions/write sur la hiérarchie de ressources ou la ressource individuelle, le créateur d’une exemption doit avoir le verbe exempt/Action sur l’affectation cible.
Comparaison d’étendue
Le tableau suivant présente une comparaison des options d’étendue :
| Ressources | Inclusion | Exclusion (notScopes) | Exemption |
|---|---|---|---|
| Les ressource sont évaluées | ✔ | - | - |
| Objet Gestionnaire des ressources | - | - | ✔ |
| Nécessite la modification d’un objet d’affectation de stratégie | ✔ | ✔ | - |
Alors, sur quel critère choisir d’utiliser une exclusion ou une exemption ? En règle générale, les exclusions sont recommandées pour contourner définitivement une évaluation pour une vaste étendue telle qu’un environnement de test qui ne nécessite pas le même niveau de gouvernance. Les exemptions sont recommandées pour des scénarii limités dans le temps ou plus spécifiques dans lesquels une ressource ou une hiérarchie de ressources doit toujours faire l’objet d’un suivi et doit sinon être évaluée, mais il existe une raison spécifique pour laquelle elle ne doit pas être évaluée pour la conformité.
Étapes suivantes
- En savoir plus sur la structure des définitions de stratégies
- Découvrez comment créer des stratégies par programmation.
- Découvrez comment obtenir des données de conformité.
- Découvrez comment corriger des ressources non conformes.
- Découvrez comment organiser vos ressources avec les groupes d’administration Azure