Qu’est-ce que l’applicabilité dans Azure Policy ?
Quand une définition de stratégie est affectée à une étendue, Azure Policy détermine les ressources dans celle-ci à prendre en compte pour l’évaluation de la conformité. Une ressource n’est évaluée pour la conformité que si elle est jugée applicable à l’affectation de stratégie donnée.
L’applicabilité est déterminée par plusieurs facteurs :
- Conditions dans le bloc
ifde la règle de stratégie. - Mode la définition de stratégie.
- Étendues exclues spécifiées dans l’affectation.
- Sélecteurs de ressources spécifiés dans l’affectation.
- Exemptions de ressources ou hiérarchies de ressources.
L’applicabilité de la ou des conditions dans le bloc if de la règle de stratégie est évaluée de manière légèrement différente en fonction de leur effet.
Notes
L’applicabilité diffère de la conformité, et la logique utilisée pour déterminer l’une et l’autre est différente. Si une ressource est applicable, cela signifie qu’elle est pertinente pour la stratégie. Si une ressource est conforme, cela signifie qu’elle respecte la stratégie. Parfois, seules certaines conditions de la règle de stratégie ont un impact sur l’applicabilité, alors que toutes les conditions ont un impact sur l’état de conformité.
Modes Resource Manager
-Effets de stratégie IfNotExists
L’applicabilité des stratégies AuditIfNotExists et DeployIfNotExists est basée sur la condition if entière de la règle de stratégie. Quand if prend la valeur false, la stratégie n’est pas applicable.
Tous les autres effets de stratégie
Azure Policy évalue uniquement les conditions type, name et kind dans l’expression if de règle de stratégie, et traite les autres conditions comme true (ou false en cas de négation). Si le résultat final de l’évaluation est true, la stratégie est applicable. Sinon, elle n’est pas applicable.
Voici des cas spéciaux à la logique d’applicabilité décrite précédemment :
| Scénario | Résultats |
|---|---|
Alias quelconque non valide dans les conditions if |
La stratégie n’est pas applicable |
Lorsque les conditions if sont uniquement des conditions kind |
La stratégie s’applique à toutes les ressources |
Lorsque les conditions if sont uniquement des conditions name |
La stratégie s’applique à toutes les ressources |
Lorsque les conditions if sont uniquement des conditions type et kind |
Seules les conditions type sont prises en compte lors de la décision de l’applicabilité |
Lorsque les conditions if sont uniquement des conditions type et name |
Seules les conditions type sont prises en compte lors de la décision de l’applicabilité |
Lorsque les conditions if consistent en type, kind et autres conditions |
Seules les conditions type et kind sont prises en compte lors de la décision de l’applicabilité |
Lorsque les conditions if consistent en type, name et autres conditions |
Seules les conditions type et name sont prises en compte lors de la décision de l’applicabilité |
Quand une condition quelconque (y compris des paramètres de déploiement) inclut une condition location |
Ne sera pas applicable aux abonnements |
Modes Fournisseur de ressources
Microsoft.Kubernetes.Data
L’applicabilité des stratégies Microsoft.Kubernetes.Data est basée sur la condition if entière de la règle de stratégie. Quand if prend la valeur false, la stratégie n’est pas applicable.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data et Microsoft.MachineLearningServices.v2.Data
Les stratégies avec ces mode RP s’appliquent si la condition type de la règle de stratégie prend la valeur true. type fait référence au type de composant.
Types de composants Key Vault :
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
Type de composants HSM managé :
- Microsoft.ManagedHSM.Data/managedHsms/keys
Type de composants Azure Data Factory :
- Microsoft.DataFactory.Data/factories/outboundTraffic
Type de composant Azure Machine Learning :
- Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Les stratégies avec le mode Microsoft.Network.Data s’appliquent si les conditions type et name de la règle de stratégie prennent la valeur true. type fait référence au type de composant :
- Microsoft.Network/virtualNetworks
Ressources non applicables
Il peut arriver que des ressources soient applicables à une affectation en raison des conditions ou de la portée, alors qu'elles ne devraient pas l'être pour des raisons professionnelles. À ce moment-là, il serait préférable d'appliquer des exclusions ou des exemptions. Pour savoir quand utiliser l'un ou l'autre, reportez-vous à la comparaison des portées
Remarque
Par conception, Azure Policy n'évalue pas les ressources sous le fournisseur de ressources (RP) Microsoft.Resources à partir de l'évaluation de la politique, à l'exception des abonnements et des groupes de ressources.
Étapes suivantes
- Découvrez comment marquer les ressources comme non applicables.
- En savoir plus sur les limitations d'applicabilité
- Découvrez comment Obtenir les données de conformité des ressources Azure.
- Examinez la mise à jour de la conformité des stratégies de type de ressource.