Partage via


Qu’est-ce que l’applicabilité dans Azure Policy ?

Quand une définition de stratégie est affectée à une étendue, Azure Policy détermine les ressources dans celle-ci à prendre en compte pour l’évaluation de la conformité. Une ressource n’est évaluée pour la conformité que si elle est jugée applicable à l’affectation de stratégie donnée.

L’applicabilité est déterminée par plusieurs facteurs :

  • Conditions dans le bloc if de la règle de stratégie.
  • Mode la définition de stratégie.
  • Étendues exclues spécifiées dans l’affectation.
  • Sélecteurs de ressources spécifiés dans l’affectation.
  • Exemptions de ressources ou hiérarchies de ressources.

L’applicabilité de la ou des conditions dans le bloc if de la règle de stratégie est évaluée de manière légèrement différente en fonction de leur effet.

Notes

L’applicabilité diffère de la conformité, et la logique utilisée pour déterminer l’une et l’autre est différente. Si une ressource est applicable, cela signifie qu’elle est pertinente pour la stratégie. Si une ressource est conforme, cela signifie qu’elle respecte la stratégie. Parfois, seules certaines conditions de la règle de stratégie ont un impact sur l’applicabilité, alors que toutes les conditions ont un impact sur l’état de conformité.

Modes Resource Manager

-Effets de stratégie IfNotExists

L’applicabilité des stratégies AuditIfNotExists et DeployIfNotExists est basée sur la condition if entière de la règle de stratégie. Quand if prend la valeur false, la stratégie n’est pas applicable.

Tous les autres effets de stratégie

Azure Policy évalue uniquement les conditions type, name et kind dans l’expression if de règle de stratégie, et traite les autres conditions comme true (ou false en cas de négation). Si le résultat final de l’évaluation est true, la stratégie est applicable. Sinon, elle n’est pas applicable.

Voici des cas spéciaux à la logique d’applicabilité décrite précédemment :

Scénario Résultats
Alias quelconque non valide dans les conditions if La stratégie n’est pas applicable
Lorsque les conditions if sont uniquement des conditions kind La stratégie s’applique à toutes les ressources
Lorsque les conditions if sont uniquement des conditions name La stratégie s’applique à toutes les ressources
Lorsque les conditions if sont uniquement des conditions type et kind Seules les conditions type sont prises en compte lors de la décision de l’applicabilité
Lorsque les conditions if sont uniquement des conditions type et name Seules les conditions type sont prises en compte lors de la décision de l’applicabilité
Lorsque les conditions if consistent en type, kind et autres conditions Seules les conditions type et kind sont prises en compte lors de la décision de l’applicabilité
Lorsque les conditions if consistent en type, name et autres conditions Seules les conditions type et name sont prises en compte lors de la décision de l’applicabilité
Quand une condition quelconque (y compris des paramètres de déploiement) inclut une condition location Ne sera pas applicable aux abonnements

Modes Fournisseur de ressources

Microsoft.Kubernetes.Data

L’applicabilité des stratégies Microsoft.Kubernetes.Data est basée sur la condition if entière de la règle de stratégie. Quand if prend la valeur false, la stratégie n’est pas applicable.

Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data et Microsoft.MachineLearningServices.v2.Data

Les stratégies avec ces mode RP s’appliquent si la condition type de la règle de stratégie prend la valeur true. type fait référence au type de composant.

Types de composants Key Vault :

  • Microsoft.KeyVault.Data/vaults/certificates
  • Microsoft.KeyVault.Data/vaults/keys
  • Microsoft.KeyVault.Data/vaults/secrets

Type de composants HSM managé :

  • Microsoft.ManagedHSM.Data/managedHsms/keys

Type de composants Azure Data Factory :

  • Microsoft.DataFactory.Data/factories/outboundTraffic

Type de composant Azure Machine Learning :

  • Microsoft.MachineLearningServices.v2.Data/workspaces/deployments

Microsoft.Network.Data

Les stratégies avec le mode Microsoft.Network.Data s’appliquent si les conditions type et name de la règle de stratégie prennent la valeur true. type fait référence au type de composant :

  • Microsoft.Network/virtualNetworks

Ressources non applicables

Il peut arriver que des ressources soient applicables à une affectation en raison des conditions ou de la portée, alors qu'elles ne devraient pas l'être pour des raisons professionnelles. À ce moment-là, il serait préférable d'appliquer des exclusions ou des exemptions. Pour savoir quand utiliser l'un ou l'autre, reportez-vous à la comparaison des portées

Remarque

Par conception, Azure Policy n'évalue pas les ressources sous le fournisseur de ressources (RP) Microsoft.Resources à partir de l'évaluation de la politique, à l'exception des abonnements et des groupes de ressources.

Étapes suivantes