Az Azure Policy definíciós struktúrájának alapjai
Az Azure Policy-definíciók ismertetik az erőforrás-megfelelőségi feltételeket , és azt, hogy milyen hatással lehet egy feltétel teljesülése esetén. A feltétel összehasonlítja egy erőforrás-tulajdonság mezőjét vagy értékét egy kötelező értékkel. Az erőforrástulajdonság-mezőkhöz való hozzáférés aliasokkal történik. Ha az erőforrástulajdonság-mező egy tömb, egy különleges tömbaliasszal kiválaszthatja az értékeket a tömb összes tagjából, és mindegyikre alkalmazhat egy feltételt. További információ a feltételekről.
A szabályzat-hozzárendelések használatával szabályozhatja a költségeket, és kezelheti az erőforrásokat. Megadhatja például, hogy csak bizonyos típusú virtuális gépek engedélyezettek legyenek. Vagy megkövetelheti, hogy az erőforrások egy adott címkével rendelkezzenek. A hatókörhöz tartozó hozzárendelések az adott hatókörben és az alatt található összes erőforrásra vonatkoznak. Ha egy szabályzat-hozzárendelést egy erőforráscsoportra alkalmaz, akkor a hozzárendelés az adott erőforráscsoporton belüli összes erőforrásra érvényes lesz.
A JSON használatával olyan szabályzatdefiníciót hozhat létre, amely a következő elemeket tartalmazza:
displayName
description
mode
version
metadata
parameters
policyRule
- logikai értékelések
effect
Az alábbi JSON például egy olyan szabályzatot mutat be, amely korlátozza az erőforrások üzembe helyezését:
{
"properties": {
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"mode": "Indexed",
"metadata": {
"version": "1.0.0",
"category": "Locations"
},
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
},
"defaultValue": [
"westus2"
]
}
},
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
További információ: szabályzatdefiníciós séma. Az Azure Policy beépített és mintái az Azure Policy-mintákban találhatók.
Megjelenített név és leírás
A szabályzatdefiníciót használja displayName
és description
azonosítja, és kontextust biztosít a definíció használatakor. A legfeljebb 128 karakter hosszúságú és description
legfeljebb 512 karakter hosszúságú.displayName
Feljegyzés
A szabályzatdefiníció id
type
name
létrehozása vagy frissítése során a JSON-fájlon kívüli tulajdonságok határozzák meg, és nem szükségesek a JSON-fájlban. A szabályzatdefiníció SDK-val történő beolvasása a JSON részeként adja vissza a id
, type
és name
a tulajdonságokat, de mindegyik csak olvasható információ a szabályzatdefinícióhoz kapcsolódóan.
Házirend típusa
Bár a policyType
tulajdonság nem állítható be, az SDK három értéket ad vissza, és látható a portálon:
Builtin
: A Microsoft ezeket a szabályzatdefiníciókat biztosítja és tartja karban.Custom
: Az ügyfelek által létrehozott összes szabályzatdefiníció rendelkezik ezzel az értékkel.Static
: A Microsoft tulajdonosi jogával rendelkező szabályozási megfelelőségi szabályzat definícióját jelzi. A szabályzatdefiníciók megfelelőségi eredményei a Microsoft-infrastruktúra Nem Microsoft-auditjainak eredményei. Az Azure Portalon ez az érték néha a Microsoft által felügyeltként jelenik meg. További információ: Megosztott felelősség a felhőben.
Mód
A mode
beállítás attól függően van konfigurálva, hogy a szabályzat egy Azure Resource Manager-tulajdonságot vagy erőforrás-szolgáltatói tulajdonságot céloz meg.
Resource Manager-módok
Ez mode
határozza meg, hogy mely erőforrástípusokat értékeli ki a rendszer egy szabályzatdefinícióhoz. A támogatott módok a következők:
all
: erőforráscsoportok, előfizetések és minden erőforrástípus kiértékeléseindexed
: csak a címkéket és helyet támogató erőforrástípusok kiértékelése
Az erőforrás Microsoft.Network/routeTables
például támogatja a címkéket és a helyet, és mindkét módban kiértékelésre kerül. Az erőforrás Microsoft.Network/routeTables/routes
azonban nem címkézhető fel, és nem értékelhető indexed
ki módban.
Javasoljuk, hogy a legtöbb esetben állítsa be az all
értéketmode
. A portálon létrehozott összes szabályzatdefiníció a all
módot használja. Ha a PowerShellt vagy az Azure CLI-t használja, manuálisan is megadhatja a paramétert mode
. Ha a szabályzatdefiníció nem tartalmaz mode
értéket, az alapértelmezés szerint all
az Azure PowerShellben és az null
Azure CLI-ben történik. A null
mód ugyanaz, mint indexed
a visszamenőleges kompatibilitás támogatása.
indexed
címkéket vagy helyeket kényszerítő szabályzatok létrehozásakor kell használni. Bár nem kötelező, megakadályozza, hogy a címkéket és helyeket nem támogató erőforrások nem megfelelőként jelenjenek meg a megfelelőségi eredményekben. Kivételt képeznek az erőforráscsoportok és az előfizetések. Az erőforráscsoporton vagy -előfizetésen helyet vagy címkéket kényszerítő szabályzatdefinícióknak az adott erőforráscsoportra vagy előfizetésre kell beállítaniuk a helyet vagy címkéket, és meg kell célozni mode
all
a típust vagy Microsoft.Resources/subscriptions
a típustMicrosoft.Resources/subscriptions/resourceGroups
. Példa: Minta: Címkék – 1. minta. A címkéket támogató erőforrások listáját az Azure-erőforrások címketámogatása című témakörben találja.
Erőforrás-szolgáltatói módok
A következő erőforrás-szolgáltatói módok teljes mértékben támogatottak:
Microsoft.Kubernetes.Data
Kubernetes-fürtök és összetevők, például podok, tárolók és bejövő forgalom kezeléséhez. Az Azure Kubernetes Service-fürtök és az Azure Arc-kompatibilis Kubernetes-fürtök esetében támogatott. Az erőforrás-szolgáltató módot használó definíciók az effektusok naplózását, elutasítását és letiltott használatát használják.Microsoft.KeyVault.Data
tárolók és tanúsítványok kezeléséhez az Azure Key Vaultban. További információ ezekről a szabályzatdefiníciókról: Az Azure Key Vault integrálása az Azure Policyval.Microsoft.Network.Data
Az Azure Virtual Network Manager egyéni tagsági szabályzatainak Azure Policy használatával történő kezeléséhez.
Az alábbi erőforrás-szolgáltatói módok jelenleg előzetes verzióként támogatottak:
Microsoft.ManagedHSM.Data
felügyelt hardveres biztonsági modul (HSM) kulcsainak kezeléséhez az Azure Policy használatával.Microsoft.DataFactory.Data
az Azure Policy használatával tiltsa le az Azure Data Factory azon kimenő adatforgalmi tartományneveket, amelyek nincsenek megadva egy engedélyezési listán. Ez az erőforrás-szolgáltató mód csak kényszerítés, és nem jelenti a megfelelőséget nyilvános előzetes verzióban.Microsoft.MachineLearningServices.v2.Data
Az Azure Machine Learning-modellek üzembe helyezésének kezeléséhez. Ez az erőforrás-szolgáltató mód az újonnan létrehozott és frissített összetevők megfelelőségét jelenti. A nyilvános előzetes verzióban a megfelelőségi bejegyzések 24 órán át lesznek elérhetők. A szabályzatdefiníciók hozzárendelése előtt meglévő modelltelepítések nem jelentik a megfelelőséget.
Feljegyzés
Ha nincs explicit módon megadva, az erőforrás-szolgáltatói módok csak a beépített szabályzatdefiníciókat támogatják, és a kivételek nem támogatottak az összetevő szintjén.
Az Azure Policy verziószámozásának kiadásakor az alábbi erőforrás-szolgáltatói módok nem támogatják a beépített verziószámozást:
Microsoft.DataFactory.Data
Microsoft.MachineLearningServices.v2.Data
Microsoft.ManagedHSM.Data
Verzió (előzetes verzió)
A beépített szabályzatdefiníciók több, azonos definitionID
verziójú verziót is üzemeltethetnek. Ha nincs megadva verziószám, az összes felület a definíció legújabb verzióját jeleníti meg. Egy beépített verzió megtekintéséhez meg kell adni az API-ban, az SDK-ban vagy a felhasználói felületen. A hozzárendelésen belüli definíció egy adott verziójára való hivatkozáshoz tekintse meg a hozzárendelésen belüli definícióverziót
Az Azure Policy szolgáltatás a , preview
és deprecated
tulajdonságok használatával version
közvetíti a változás szintjét egy beépített szabályzatdefinícióra vagy kezdeményezésre és állapotra. A formátum a version
következő: {Major}.{Minor}.{Patch}
. Bizonyos állapotok, például elavult vagy előzetes verzió, logikai értékként vannak hozzáfűzve a version
tulajdonsághoz vagy egy másik tulajdonsághoz.
- Főverzió (például: 2.0.0): olyan kompatibilitástörő változások bevezetése, mint a fő szabálylogika módosítása, a paraméterek eltávolítása, a kényszerítési hatás alapértelmezés szerinti hozzáadása.
- Alverzió (például: 2.1.0): módosítások bevezetése, például kisebb szabálylogika-módosítások, új paraméter által megengedett értékek hozzáadása, módosítások módosítása
roleDefinitionIds
, definíciók hozzáadása vagy áthelyezése egy kezdeményezésen belül. - Patch Version (példa: 2.1.4): sztring- vagy metaadatok módosításainak bevezetése, valamint az üveg biztonsági forgatókönyveinek megszakítása (ritka).
Az Azure Policy beépített verzióival kapcsolatos további információkért lásd a beépített verziószámozást. Ha többet szeretne megtudni arról, hogy mit jelent a szabályzatok elavult vagy előzetes verzióban való használata, tekintse meg az előzetes verziót és az elavult szabályzatokat.
Metaadatok
Az opcionális metadata
tulajdonság a szabályzatdefinícióval kapcsolatos információkat tárolja. Az ügyfelek a szervezet számára hasznos tulajdonságokat és értékeket definiálhatják a következő helyen metadata
: . Az Azure Policy és a beépített szolgáltatások azonban gyakran használnak tulajdonságokat. Minden metadata
tulajdonság legfeljebb 1024 karakter hosszúságú lehet.
Gyakori metaadat-tulajdonságok
version
(sztring): Nyomon követi a szabályzatdefiníció tartalmának verziójával kapcsolatos részleteket.category
(sztring): Meghatározza, hogy az Azure Portal melyik kategóriájában jelenjen meg a szabályzatdefiníció.preview
(logikai): Igaz vagy hamis jelölő, ha a szabályzatdefiníció előzetes verziójú.deprecated
(logikai): Igaz vagy hamis jelölő arra az esetre, ha a szabályzatdefiníció elavultként van megjelölve.portalReview
(sztring): Meghatározza, hogy a paramétereket a szükséges bemenettől függetlenül felül kell-e vizsgálni a portálon.
Definíció helye
Kezdeményezés vagy szabályzat létrehozásakor meg kell adni a definíció helyét. A definíció helyének felügyeleti csoportnak vagy előfizetésnek kell lennie. Ez a hely határozza meg azt a hatókört, amelyhez a kezdeményezés vagy szabályzat hozzárendelhető. Az erőforrásoknak a hozzárendeléshez megcélzott definícióhely hierarchiájának közvetlen tagjainak vagy gyermekeinek kell lenniük.
Ha a definíció helye a következő:
- Előfizetés – Csak az előfizetésen belüli erőforrások rendelhetők hozzá a szabályzatdefinícióhoz.
- Felügyeleti csoport – Csak a gyermekfelügyeleti csoportokon és gyermek-előfizetéseken belüli erőforrások rendelhetők hozzá a szabályzatdefinícióhoz. Ha több előfizetésre szeretné alkalmazni a szabályzatdefiníciót, a helynek egy olyan felügyeleti csoportnak kell lennie, amely minden előfizetést tartalmaz.
További információért lásd: Az Azure Policy hatóköreinek megismerése.
Következő lépések
- A szabályzatdefiníció szerkezetéről további információt a paraméterek, a szabályzatszabály és az alias című témakörben talál.
- A kezdeményezésekhez keresse fel a kezdeményezésdefiníciós struktúrát.
- Tekintse át az Azure Policy-minták példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
- Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
- Tekintse át, hogy mi az a felügyeleti csoport az erőforrások azure-beli felügyeleti csoportokkal való rendszerezésével.