Comprendre l’étendue dans Azure Policy
Il existe de nombreux paramètres qui déterminent les ressources pouvant être évaluées et celles qui sont évaluées par Azure Policy. Le concept principal de ces contrôles est l’étendue. Dans Azure Policy, l’étendue est basée sur le fonctionnement de l’étendue dans Azure Resource Manager. Pour une vue d’ensemble de haut niveau, consultez la section Étendue d’Azure Resource Manager.
Cet article explique l’importance de l’étendue dans Azure Policy ainsi que les objets et propriétés associés.
Emplacement de la définition
L’étendue utilisée en premier lieu par Azure Policy est la création d’une définition de stratégie, La définition peut être enregistrée dans un groupe d’administration ou un abonnement. L’emplacement détermine l’étendue à laquelle l’initiative ou la stratégie peut être affectée. Les ressources doivent faire partie de la hiérarchie de ressources de l’emplacement de la définition à cibler pour l’affectation. Les ressources couvertes par Azure Policy décrivent l’évaluation des stratégies.
Si l’emplacement de la définition est l’un ou l’autre élément suivant :
- Abonnement : l’abonnement où la stratégie est définie et les ressources de cet abonnement peuvent se voir affecter la définition de stratégie.
- Groupe d’administration : le groupe d’administration où la stratégie est définie et les ressources dans les groupes d’administration enfants et les abonnements enfants peuvent se voir affecter la définition de stratégie. Si vous voulez appliquer la définition de stratégie à plusieurs abonnements, l’emplacement doit correspondre à un groupe d’administration comportant chaque abonnement.
L’emplacement doit être le conteneur de ressources partagé par toutes les ressources sur lequel vous souhaitez utiliser la définition de stratégie. Ce conteneur de ressources est généralement un groupe d’administration proche du groupe d’administration racine.
Étendues d’affectation
Plusieurs propriétés d’une affectation définissent une étendue. L’utilisation de ces propriétés détermine quelles ressources doivent être évaluées par Azure Policy et quelles ressources sont prises en compte pour la conformité. Ces propriétés sont liées aux concepts suivants :
- Inclusion : une définition évalue la conformité d’une hiérarchie de ressources ou d’une ressource individuelle. L’étendue de l’objet d’affectation détermine les ressources à inclure et celles pour lesquelles la conformité doit être évaluée. Pour plus d’informations, consultez Structure d’attribution Azure Policy.
- Exclusion : une définition ne doit pas évaluer la conformité d’une hiérarchie de ressources ou d’une ressource individuelle. La propriété de tableau
properties.notScopes
sur un objet d’affectation détermine les ressources à exclure. Les ressources comprises dans ces étendues ne sont pas évaluées ou incluses dans le décompte de conformité. Pour plus d’informations, consultez Étendues exclues dans Structure d’attribution Azure Policy.
En plus des propriétés d’affectation de stratégie figure l’objet de structure d’exemption Azure Policy. Les exemptions améliorent le scénario d'étendue en fournissant une méthode qui permet d'identifier une partie à ne pas évaluer au sein d'une affectation.
Exemption : une définition évalue la conformité d’une hiérarchie de ressources ou d’une ressource individuelle, mais ne l’évalue pas en raison d’une renonciation ou d’une atténuation par une autre méthode. Les ressources dans cet état apparaissent comme Exemptées dans les rapports de conformité afin de pouvoir être suivies. L’objet d’exemption est créé sur la hiérarchie de ressources ou la ressource individuelle en tant qu’objet enfant, afin de déterminer l’étendue de l’exemption. Une hiérarchie de ressources ou une ressource individuelle peuvent être exemptes de plusieurs affectations. Il est possible de configurer l’exemption pour qu’elle expire selon un calendrier précis à l’aide de la propriété expiresOn
. Pour plus d’informations, consultez Structure d’exemption Azure Policy.
Remarque
En raison de l’impact de l’octroi d’une exemption pour une hiérarchie de ressources ou une ressource individuelle, les exemptions comportent des mesures de sécurité supplémentaires. Au-delà de la nécessité de l’opération Microsoft.Authorization/policyExemptions/write
sur la hiérarchie de ressources ou la ressource individuelle, le créateur d’une exemption doit avoir le verbe exempt/Action
sur l’affectation cible.
Comparaison d’étendue
Le tableau suivant présente une comparaison des options d’étendue :
Ressources | Inclusion | Exclusion (notScopes) | Exemption |
---|---|---|---|
Les ressource sont évaluées | ✔ | - | - |
Objet Gestionnaire des ressources | - | - | ✔ |
Nécessite la modification d’un objet d’affectation de stratégie | ✔ | ✔ | - |
Alors, sur quel critère choisir d’utiliser une exclusion ou une exemption ? En règle générale, les exclusions sont recommandées pour contourner définitivement une évaluation pour une vaste étendue telle qu’un environnement de test qui ne nécessite pas le même niveau de gouvernance. Les exemptions sont recommandées pour des scénarii limités dans le temps ou plus spécifiques dans lesquels une ressource ou une hiérarchie de ressources doit toujours faire l’objet d’un suivi et sinon être évaluée, mais il existe une raison spécifique pour laquelle elle ne doit pas être évaluée pour la conformité.
Étapes suivantes
- En savoir plus sur la structure des définitions de stratégies
- Découvrez comment créer des stratégies par programmation.
- Découvrez comment obtenir des données de conformité.
- Découvrez comment corriger des ressources non conformes.
- Découvrez-en plus sur la façon d’organiser vos ressources avec des groupes d’administration Azure.