Az Azure Policy definíciós struktúrájának alapjai

Az Azure Policy-definíciók ismertetik az erőforrás-megfelelőségi feltételeket , és azt, hogy milyen hatással lehet egy feltétel teljesülése esetén. A feltétel összehasonlítja egy erőforrás-tulajdonság mezőjét vagy értékét egy kötelező értékkel. Az erőforrástulajdonság-mezőkhöz való hozzáférés aliasokkal történik. Ha az erőforrástulajdonság-mező egy tömb, egy különleges tömbaliasszal kiválaszthatja az értékeket a tömb összes tagjából, és mindegyikre alkalmazhat egy feltételt. További információ a feltételekről.

A szabályzat-hozzárendelések használatával szabályozhatja a költségeket, és kezelheti az erőforrásokat. Megadhatja például, hogy csak bizonyos típusú virtuális gépek engedélyezettek legyenek. Vagy megkövetelheti, hogy az erőforrások egy adott címkével rendelkezzenek. A hatókörhöz tartozó hozzárendelések az adott hatókörben és az alatt található összes erőforrásra vonatkoznak. Ha egy szabályzat-hozzárendelést egy erőforráscsoportra alkalmaz, akkor a hozzárendelés az adott erőforráscsoporton belüli összes erőforrásra érvényes lesz.

A JSON használatával olyan szabályzatdefiníciót hozhat létre, amely a következő elemeket tartalmazza:

• displayName
• description
• mode
• version
• metadata
• parameters
• policyRule
  • logikai értékelések
  • effect

Az alábbi JSON például egy olyan szabályzatot mutat be, amely korlátozza az erőforrások üzembe helyezését:

{
  "properties": {
    "displayName": "Allowed locations",
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
    "mode": "Indexed",
    "metadata": {
      "version": "1.0.0",
      "category": "Locations"
    },
    "parameters": {
      "allowedLocations": {
        "type": "array",
        "metadata": {
          "description": "The list of locations that can be specified when deploying resources",
          "strongType": "location",
          "displayName": "Allowed locations"
        },
        "defaultValue": [
          "westus2"
        ]
      }
    },
    "policyRule": {
      "if": {
        "not": {
          "field": "location",
          "in": "[parameters('allowedLocations')]"
        }
      },
      "then": {
        "effect": "deny"
      }
    }
  }
}

További információ: szabályzatdefiníciós séma. Az Azure Policy beépített szabályai és mintái az Azure Policy minták között találhatók.

Megjelenített név és leírás

A displayName és description segítségével azonosítja, valamint kontextust ad a szabályzatdefiníció használatához. A displayName maximális hossza 128 karakter, és a description maximális hossza 512 karakter.

Megjegyzés

A szabályzatdefiníció idtypename létrehozása vagy frissítése során a JSON-fájlon kívüli tulajdonságok határozzák meg, és nem szükségesek a JSON-fájlban. A szabályzatdefiníció SDK-val történő beolvasása a JSON részeként adja vissza a id, typeés name a tulajdonságokat, de mindegyik csak olvasható információ a szabályzatdefinícióhoz kapcsolódóan.

Házirend típusa

Bár a policyType tulajdonság nem állítható be, az SDK három értéket ad vissza, és látható a portálon:

• Builtin: A Microsoft ezeket a szabályzatdefiníciókat biztosítja és tartja karban.
• Custom: Az ügyfelek által létrehozott összes szabályzatdefiníció rendelkezik ezzel az értékkel.
• Static: A Microsoft tulajdonosi jogával rendelkező szabályozási megfelelőségi szabályzat definícióját jelzi. A szabályzatdefiníciók megfelelőségi eredményei a Microsoft-infrastruktúra Nem Microsoft-auditjainak eredményei. Az Azure Portalon ez az érték néha a Microsoft által felügyeltként jelenik meg. További információ: Megosztott felelősség a felhőben.

Mód

A mode beállítás attól függően van konfigurálva, hogy a szabályzat egy Azure Resource Manager-tulajdonságot vagy erőforrás-szolgáltatói tulajdonságot céloz meg.

Resource Manager-módok

Ez mode határozza meg, hogy mely erőforrástípusokat értékeli ki a rendszer egy szabályzatdefinícióhoz. A támogatott módok a következők:

• all: erőforráscsoportok, előfizetések és minden erőforrástípus kiértékelése
• indexed: csak a címkéket és helyet támogató erőforrástípusok kiértékelése

Az erőforrás Microsoft.Network/routeTables például támogatja a címkéket és a helyet, és mindkét módban kiértékelésre kerül. Azonban az erőforrás Microsoft.Network/routeTables/routes nem felcímkézhető és indexed módban nem értékelhető ki.

Javasoljuk, hogy a legtöbb esetben állítsa az mode értékét all-re. A portálon létrehozott összes szabályzatdefiníció a all módot használja. Ha a PowerShellt vagy az Azure CLI-t használja, manuálisan is megadhatja a paramétert mode . Ha a szabályzatdefiníció nem tartalmaz mode értéket, alapértelmezettként all az Azure PowerShellben és null az Azure CLI-ben. A null mód ugyanaz, mint a indexed használata a visszamenőleges kompatibilitás érdekében.

indexed címkéket vagy helyeket kényszerítő szabályzatok létrehozásakor kell használni. Bár nem kötelező, megakadályozza, hogy a címkéket és helyeket nem támogató erőforrások nem megfelelőként jelenjenek meg a megfelelőségi eredményekben. Kivételt képeznek az erőforráscsoportok és az előfizetések. Az erőforráscsoporton vagy előfizetésen a helyeket vagy címkéket kényszerítő szabályzatdefinícióknak a mode értéket be kell állítaniuk all értékre, és különösen a Microsoft.Resources/subscriptions/resourceGroups vagy a Microsoft.Resources/subscriptions típusra kell célzottan irányulniuk. Például, lásd: Minta: Címkék – 1. mintapélda. A címkéket támogató erőforrások listáját az Azure-erőforrások címketámogatása című témakörben találja.

Erőforrás-szolgáltatói módok

A következő erőforrás-szolgáltatói módok teljes mértékben támogatottak:

• Microsoft.Kubernetes.Data Kubernetes-fürtök és összetevők, például podok, tárolók és belépési szabályok kezeléséhez. Az Azure Kubernetes Service-fürtök és az Azure Arc-kompatibilis Kubernetes-fürtök esetében támogatott. Az erőforrás-szolgáltató módot használó definíciók az effektusokat naplózás, elutasítás és letiltva használják.
• Microsoft.KeyVault.Datatárolók és tanúsítványok kezeléséhez az Azure Key Vaultban. További információ ezekről a szabályzatdefiníciókról: Az Azure Key Vault integrálása az Azure Policyval.
• Microsoft.Network.DataAz Azure Virtual Network Manager egyéni tagsági szabályzatainak Azure Policy használatával történő kezeléséhez.

Az alábbi erőforrás-szolgáltatói módok jelenleg előzetes verzióként támogatottak:

• Microsoft.ManagedHSM.Datafelügyelt hardveres biztonsági modul (HSM) kulcsainak kezeléséhez az Azure Policy használatával.
• Microsoft.DataFactory.Data az Azure Policy használatával tiltsa le az Azure Data Factory azon kimenő adatforgalmi tartományneveket, amelyek nincsenek megadva egy engedélyezési listán. Ez az erőforrás-szolgáltató mód csak érvényesít, és nem jelenti a megfelelőséget a nyilvános előzetes verzió során.
• Microsoft.MachineLearningServices.v2.DataAz Azure Machine Learning-modellek üzembe helyezésének kezeléséhez. Ez az erőforrás-szolgáltató mód az újonnan létrehozott és frissített összetevők megfelelőségét jelenti. A nyilvános előzetes verzióban a megfelelőségi bejegyzések 24 órán át lesznek elérhetők. A szabályzatdefiníciók hozzárendelése előtt meglévő modelltelepítések nem jelentik a megfelelőséget.
• Microsoft.LoadTestService.Dataaz Azure Load Testing-példányok privát végpontokra való korlátozásához.

Megjegyzés

Ha nincs explicit módon megadva, az erőforrás-szolgáltatói módok csak a beépített szabályzatdefiníciókat támogatják, és a kivételek nem támogatottak az összetevő szintjén.

Az Azure Policy verziószámozásának kiadásakor az alábbi erőforrás-szolgáltatói módok nem támogatják a beépített verziószámozást:

• Microsoft.DataFactory.Data
• Microsoft.MachineLearningServices.v2.Data
• Microsoft.ManagedHSM.Data

Verzió (előzetes verzió)

A beépített szabályzatdefiníciók több, azonos definitionIDverziójú verziót is üzemeltethetnek. Ha nincs megadva verziószám, az összes felület a definíció legújabb verzióját jeleníti meg. Egy beépített funkció konkrét verziójának megtekintéséhez azt meg kell adni az API-ban, az SDK-ban vagy a felhasználói felületen. A hozzárendelésen belüli definíció egy adott verziójára való hivatkozáshoz tekintse meg a hozzárendelésen belüli definícióverziót

Az Azure Policy szolgáltatás a version, preview, és deprecated tulajdonságokat arra használja, hogy közvetítse egy beépített szabályzatdefiníció vagy kezdeményezés állapotát és változási szintjét. A version formátuma: {Major}.{Minor}.{Patch}. Ha egy szabályzatdefiníció előzetes verziójú, az utótag előzetes hozzá lesz fűzve a version tulajdonsághoz, és logikai értékként kezelik. Ha egy szabályzatdefiníció elavult, az elavulás logikai értékként lesz rögzítve a definíció metaadataiban a használatával "deprecated": "true".

• Főverzió (például: 2.0.0): olyan kompatibilitástörő változások bevezetése, mint a fő szabálylogika módosítása, a paraméterek eltávolítása, a kényszerítési hatás alapértelmezés szerinti hozzáadása.
• Alverzió (például: 2.1.0): módosítások bevezetése, mint például kisebb szabálylogika-módosítások, új paraméter megengedett értékeinek hozzáadása, változások roleDefinitionIds-ra, illetve definíciók hozzáadása vagy áthelyezése egy kezdeményezésen belül.
• Patch Version (példa: 2.1.4): sztring- vagy metaadatok módosításainak bevezetése, valamint az üveg biztonsági forgatókönyveinek megszakítása (ritka).

Az Azure Policy beépített verzióival kapcsolatos további információkért lásd a beépített verziószámozást. Ha többet szeretne megtudni arról, hogy mit jelent a szabályzatok elavult vagy előzetes verzióban való használata, tekintse meg az előzetes verziót és az elavult szabályzatokat.

Metaadatok

Az opcionális metadata tulajdonság a szabályzatdefinícióval kapcsolatos információkat tárolja. Az ügyfelek a szervezet számára hasznos tulajdonságokat és értékeket definiálhatják a következő helyen metadata: . Azonban vannak általános tulajdonságok, amelyeket az Azure Policy és a beépítettek használnak. Minden tulajdonságra 1,024 karakteres korlát vonatkozik.

Gyakori metaadat-tulajdonságok

• version (sztring): Nyomon követi a szabályzatdefiníció tartalmának verziójával kapcsolatos részleteket.
• category (sztring): Meghatározza, hogy az Azure Portal melyik kategóriájában jelenjen meg a szabályzatdefiníció.
• preview (logikai): Igaz vagy hamis jelölés arra, hogy a szabályzat definíciója előzetes verziójú-e.
• deprecated (logikai érték): Igaz vagy hamis jelölő, amely jelzi, hogy a szabályzatdefiníció elavultként van megjelölve.
• portalReview (sztring): Meghatározza, hogy a paramétereket a szükséges bemenettől függetlenül felül kell-e vizsgálni a portálon.

Definíció helye

Kezdeményezés vagy szabályzat létrehozásakor meg kell adni a definíció helyét. A definíció helyének felügyeleti csoportnak vagy előfizetésnek kell lennie. Ez a hely határozza meg azt a hatókört, amelyhez a kezdeményezés vagy szabályzat hozzárendelhető. Az erőforrásoknak a hozzárendeléshez megcélzott definícióhely hierarchiájának közvetlen tagjainak vagy gyermekeinek kell lenniük.

Ha a definíció helye a következő:

• Előfizetés – Csak az előfizetésen belüli erőforrások rendelhetők hozzá a szabályzatdefinícióhoz.
• Felügyeleti csoport – Csak a gyermekfelügyeleti csoportokon és gyermek-előfizetéseken belüli erőforrások rendelhetők hozzá a szabályzatdefinícióhoz. Ha több előfizetésre szeretné alkalmazni a szabályzatdefiníciót, a helynek egy olyan felügyeleti csoportnak kell lennie, amely minden előfizetést tartalmaz.

További információért lásd: Az Azure Policy hatóköreinek megismerése.

Következő lépések

• A szabályzatdefiníció szerkezetéről további információt a paraméterek, a szabályzatszabály és az alias című témakörben talál.
• A kezdeményezésekhez keresse fel a kezdeményezésdefiníciós struktúrát.
• Tekintse át az Azure Policy-minták példáit.
• A Szabályzatok hatásainak ismertetése.
• Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
• Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
• Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
• Tekintse át, hogy mi az a kezelési csoport az Azure kezelési csoportok használatával történő erőforrás-rendszerezés során.