Azure Policy-definíciók naplózási hatása

  • Cikk

Az audit effektussal figyelmeztető eseményt hozhat létre a tevékenységnaplóban egy nem megfelelő erőforrás kiértékelésekor, de nem állítja le a kérést.

Auditértékelés

A naplózás az Azure Policy által az erőforrás létrehozása vagy frissítése során utoljára ellenőrzött hatás. Resource Manager-mód esetén az Azure Policy ezután elküldi az erőforrást az erőforrás-szolgáltatónak. Egy erőforrás létrehozási vagy frissítési kérésének kiértékelésekor az Azure Policy hozzáad egy Microsoft.Authorization/policies/audit/action műveletet a tevékenységnaplóhoz, és nem megfelelőként jelöli meg az erőforrást. A szabványos megfelelőségi kiértékelési ciklus során csak az erőforrás megfelelőségi állapota frissül.

Naplózási tulajdonságok

Resource Manager-mód esetén a naplózási effektus nem rendelkezik a szabályzatdefiníció feltételében használható then egyéb tulajdonságokkal.

Erőforrás-szolgáltatói mód esetén a naplózási Microsoft.Kubernetes.Dataeffektus a következő altulajdonságokkal rendelkezik details: . templateInfo Az elavult új vagy frissített szabályzatdefiníciók constraintTemplate használata kötelező.

  • templateInfo (kötelező)

    • Nem használható a constraintTemplate.
    • sourceType (kötelező)

      • Meghatározza a kényszersablon forrástípusát. Engedélyezett értékek: PublicURL vagy Base64Encoded.

      • Ha PublicURL, a tulajdonsággal url párosítva adja meg a kényszersablon helyét. A helynek nyilvánosan hozzáférhetőnek kell lennie.

        Figyelmeztetés

        Ne használjon SAS URI-kat, URL-jogkivonatokat vagy bármi mást, amely titkos kulcsokat tehet közzé egyszerű szövegben.

      • Ha Base64Encoded, a tulajdonsággal content párosítva adja meg a 64-es alapkódolt kényszersablont. Lásd: Szabályzatdefiníció létrehozása kényszersablonból egyéni definíció létrehozásához egy meglévő Open Policy Agent (OPA) Gatekeeper v3 kényszersablonból.

  • constraint (elavult)

    • Nem használható a templateInfo.
    • A kényszersablon CRD-implementációja. A mintaként {{ .Values.<valuename> }}átadott values paramétereket használja. Az alábbi 2. példában ezek az értékek a következők {{ .Values.excludedNamespaces }} : és {{ .Values.allowedContainerImagesRegex }}.

  • constraintTemplate (elavult)

    • Nem használható a templateInfo.
    • A szabályzatdefiníciók létrehozásakor vagy frissítésekor le kell cserélni templateInfo .
    • Az új kényszereket meghatározó CustomResourceDefinition (CRD) kényszersablon. A sablon meghatározza a Rego logikát, a Kényszer sémát és az Azure Policyból átadott values kényszerparamétereket. További információ: Gatekeeper-korlátozások.

  • constraintInfo (nem kötelező)

    • Nem használható constrainta , constraintTemplate, , kindsapiGroups, scope, namespaces, excludedNamespacesvagy labelSelector.
    • Ha constraintInfo nincs megadva, a korlátozás létrehozható a szabályzatból és a szabályzatból templateInfo .
    • sourceType (kötelező)

      • Meghatározza a korlátozás forrástípusát. Engedélyezett értékek: PublicURL vagy Base64Encoded.

      • Ha PublicURL, párosítva a tulajdonsággal url a kényszer helyének megadásához. A helynek nyilvánosan hozzáférhetőnek kell lennie.

        Figyelmeztetés

        Ne használjon SAS URI-kat vagy jogkivonatokat url , és ne tegyen közzé titkos kulcsokat.

  • namespaces (nem kötelező)

    • Kubernetes-névterek tömbjea szabályzatok kiértékelésének korlátozásához.
    • Egy üres vagy hiányzó érték miatt a szabályzat kiértékelése az összes olyan névteret tartalmazza, amely nem szerepel a excludedNamespacesben.

  • excludedNamespaces (nem kötelező)

    • Kubernetes-névterek tömbje, amely kizárható a szabályzatértékelésből.

  • labelSelector (nem kötelező)

    • A matchLabels (objektum) és a matchExpression (tömb) tulajdonságokat tartalmazó objektum, amely lehetővé teszi annak megadását, hogy mely Kubernetes-erőforrások szerepeljenek a megadott címkéknek és választóknak megfelelő szabályzatkiértékeléshez.
    • Egy üres vagy hiányzó érték miatt a szabályzat kiértékelése az összes címkét és választót tartalmazza, kivéve a kizártnameterekben definiált névtereket.

  • scope (nem kötelező)

    • A hatókör tulajdonságot tartalmazó sztring, amely lehetővé teszi annak megadását, hogy a fürt hatókörű vagy névtérrel rendelkező erőforrások egyeznek-e.

  • apiGroups(a templateInfo használatakor kötelező)

    • Az egyező API-csoportokat tartalmazó tömb. Egy üres tömb ([""]) az alapvető API-csoport.
    • Az apiGroups definiálása ["*"]nem engedélyezett.

  • kinds(a templateInfo használatakor kötelező)

    • Olyan tömb , amely tartalmazza a Kubernetes-objektum típusát a kiértékelés korlátozásához.
    • A típusokdefiniálása ["*"] nem engedélyezett.

  • values (nem kötelező)

    • Meghatározza a kényszernek átadni kívánt paramétereket és értékeket. Minden értéknek léteznie kell, és meg kell egyeznie egy tulajdonságnak a CRD kényszersablon érvényesítési openAPIV3Schema szakaszában.

Példa naplózására

1. példa: A Resource Manager-módok naplózási effektusának használata.

"then": {
  "effect": "audit"
}

2. példa: Az erőforrás-szolgáltatói mód naplózási effektusának Microsoft.Kubernetes.Datahasználata. A további információk a details.templateInfo Kubernetesben használandó kényszersablon használatának PublicURL deklarálásához és helyének beállításához url az engedélyezett tárolólemezképek korlátozásához.

"then": {
  "effect": "audit",
  "details": {
    "templateInfo": {
      "sourceType": "PublicURL",
      "url": "https://store.policy.core.windows.net/kubernetes/container-allowed-images/v1/template.yaml",
    },
    "values": {
      "imageRegex": "[parameters('allowedContainerImagesRegex')]"
    },
    "apiGroups": [
      ""
    ],
    "kinds": [
      "Pod"
    ]
  }
}

Következő lépések