Status kepatuhan Azure Policy
Cara kerja kepatuhan
Ketika definisi inisiatif atau kebijakan ditetapkan, Azure Policy menentukan sumber daya mana yang berlaku kemudian mengevaluasi sumber daya yang belum dikecualikan atau dikecualikan. Evaluasi menghasilkan status kepatuhan berdasarkan kondisi dalam aturan kebijakan dan kepatuhan setiap sumber daya terhadap persyaratan tersebut.
Status kepatuhan yang tersedia
Tidak Sesuai
Penetapan kebijakan dengan audit, , atau modify efek dianggap tidak sesuai untuk sumber daya baru, diperbarui, atau yang sudah ada ketika kondisi aturan kebijakan dievaluasi ke TRUEauditIfNotExists.
Penetapan kebijakan dengan appendefek , deny, dan deployIfNotExists dianggap tidak sesuai untuk sumber daya yang ada ketika kondisi aturan kebijakan dievaluasi ke TRUE. Sumber daya baru dan yang diperbarui secara otomatis diperbaiki atau ditolak pada waktu permintaan untuk memberlakukan kepatuhan. Ketika sumber daya yang tidak sesuai sebelumnya diperbarui, status kepatuhan tetap tidak sesuai hingga penyebaran sumber daya dan Evaluasi kebijakan selesai.
Catatan
Efek DeployIfNotExist dan AuditIfNotExist mengharuskan pernyataan IF menjadi TRUE dan kondisi keberadaan menjadi FALSE menjadi tidak sesuai syarat. Ketika TRUE, kondisi IF memicu evaluasi kondisi keberadaan untuk sumber daya terkait.
Penetapan kebijakan dengan manual efek dianggap tidak patuh dalam dua keadaan:
- Definisi kebijakan memiliki status kepatuhan default yang tidak patuh dan tidak ada pengesahan aktif untuk sumber daya yang berlaku yang menyatakan sebaliknya.
- Sumber daya telah diujarkan sebagai tidak patuh.
Untuk menentukan alasan sumber daya tidak patuh atau untuk menemukan perubahan yang bertanggung jawab, lihat Menentukan ketidakpatuhan. Untuk memulihkan sumber daya deployIfNotExists dan modify kebijakan yang tidak sesuai, lihat Memulihkan sumber daya yang tidak sesuai dengan Azure Policy.
Sesuai
Penetapan kebijakan dengan append, audit, auditIfNotExists, deny, deployIfNotExists, atau modify efek dianggap sesuai untuk sumber daya baru, diperbarui, atau yang sudah ada ketika kondisi aturan kebijakan dievaluasi ke FALSE.
Penetapan kebijakan dengan manual efek dianggap sesuai dalam dua keadaan:
- Definisi kebijakan memiliki status kepatuhan default yang sesuai dan tidak ada pengesahan aktif untuk sumber daya yang berlaku yang menyatakan sebaliknya.
- Sumber daya telah diujarkan sebagai sesuai.
Kesalahan
Status kepatuhan kesalahan diberikan kepada penetapan kebijakan yang menghasilkan kesalahan sistem, seperti templat atau kesalahan evaluasi.
Bertentangan
Penetapan kebijakan dianggap bertentangan ketika ada dua atau beberapa penetapan kebijakan yang ada dalam cakupan yang sama dengan aturan yang bertentangan atau bertentangan. Misalnya, dua definisi yang menambahkan tag yang sama dengan nilai yang berbeda.
Pengecualian
Sumber daya yang berlaku memiliki status kepatuhan yang dikecualikan untuk penetapan kebijakan ketika berada dalam cakupan pengecualian.
Catatan
Pengecualian berbeda dari yang dikecualikan. Untuk detail selengkapnya, lihat cakupan.
Tidak dikenal
Tidak diketahui adalah status kepatuhan default untuk definisi dengan manual efek, kecuali default telah secara eksplisit diatur ke patuh atau tidak patuh. Status ini menunjukkan bahwa pengesahan kepatuhan dijaga. Status kepatuhan ini hanya terjadi untuk penetapan kebijakan yang manual berlaku.
Protected
Status terlindungi menandakan bahwa sumber daya tercakup dalam penugasan dengan efek denyAction .
Tidak terdaftar
Status kepatuhan ini terlihat di portal ketika Penyedia Sumber Azure Policy belum terdaftar, atau ketika akun yang masuk tidak memiliki izin untuk membaca data kepatuhan.
Catatan
Jika status kepatuhan dilaporkan sebagai Tidak terdaftar, verifikasi bahwa Penyedia Sumber Daya Microsoft.PolicyInsights terdaftar dan bahwa pengguna memiliki izin kontrol akses berbasis peran Azure (Azure RBAC) yang sesuai seperti yang dijelaskan dalam izin Azure RBAC di Azure Policy. Untuk mendaftarkan Microsoft.PolicyInsights, ikuti langkah-langkah berikut.
Belum dimulai
Status kepatuhan ini menunjukkan bahwa siklus evaluasi belum dimulai untuk kebijakan atau sumber daya.
Contoh
Sekarang setelah Anda memiliki pemahaman tentang apa status kepatuhan yang ada dan apa artinya masing-masing, mari kita lihat contoh menggunakan status yang patuh dan tidak patuh.
Misalkan Anda memiliki grup sumber daya - ContosoRG, dengan beberapa akun penyimpanan (disorot dengan warna merah) yang terekspos ke jaringan publik.
Diagram yang menunjukkan gambar untuk lima akun penyimpanan di grup sumber daya Contoso R G. Akun penyimpanan satu dan tiga berwarna biru, sedangkan akun penyimpanan dua, empat, dan lima berwarna merah.
Dalam contoh ini, Anda perlu waspada terhadap risiko keamanan. Asumsikan Anda menetapkan definisi kebijakan yang mengaudit akun penyimpanan yang terekspos ke jaringan publik, dan tidak ada pengecualian yang dibuat untuk penugasan ini. Kebijakan memeriksa sumber daya yang berlaku (yang mencakup semua akun penyimpanan dalam grup sumber daya ContosoRG), lalu mengevaluasi sumber daya yang tidak dikecualikan dari evaluasi. Ini mengaudit tiga akun penyimpanan yang terekspos ke jaringan publik, mengubah status kepatuhan mereka menjadi Tidak patuh. Sisanya ditandai sesuai.
Diagram yang menunjukkan gambar untuk lima akun penyimpanan di grup sumber daya Contoso R G. Akun penyimpanan satu dan tiga sekarang memiliki tanda centang hijau di bawahnya, sementara akun penyimpanan dua, empat, dan lima sekarang memiliki tanda peringatan merah di bawahnya.
Rollup kepatuhan
Status kepatuhan ditentukan per sumber daya, penetapan per kebijakan. Namun, kita sering membutuhkan tampilan gambaran besar tentang keadaan lingkungan, di mana kepatuhan agregat mulai dimainkan.
Ada beberapa cara untuk melihat hasil kepatuhan agregat di portal:
| Tampilan kepatuhan agregat | Faktor-faktor yang menentukan status kepatuhan |
|---|---|
| Scope | Semua kebijakan dalam cakupan yang dipilih |
| Inisiatif | Semua kebijakan dalam inisiatif |
| Grup atau kontrol inisiatif | Semua kebijakan dalam grup atau kontrol |
| Kebijakan | Semua sumber daya yang berlaku |
| Sumber daya | Semua kebijakan yang berlaku |
Membandingkan status kepatuhan yang berbeda
Jadi bagaimana status kepatuhan agregat ditentukan jika beberapa sumber daya atau kebijakan memiliki status kepatuhan yang berbeda itu sendiri? Azure Policy memberi peringkat setiap status kepatuhan sehingga satu "menang" atas yang lain dalam situasi ini. Urutan peringkat adalah:
- Tidak Sesuai
- Sesuai
- Kesalahan
- Bertentangan
- Dilindungi (pratinjau)
- Dibebaskan
- Tidak diketahui (pratinjau)
Catatan
Tidak dimulai dan tidak terdaftar tidak dipertimbangkan dalam perhitungan rollup kepatuhan.
Dengan peringkat ini, jika ada status yang tidak patuh dan sesuai, maka agregat yang digulung tidak akan sesuai, dan sebagainya. Lihatlah contoh berikut:
Asumsikan inisiatif berisi 10 kebijakan, dan sumber daya dikecualikan dari satu kebijakan tetapi sesuai dengan sembilan kebijakan yang tersisa. Karena status yang sesuai memiliki peringkat yang lebih tinggi daripada status yang dikecualikan, sumber daya akan mendaftar sebagai sesuai dalam ringkasan inisiatif yang digulung. Jadi, sumber daya hanya menunjukkan sebagai dikecualikan untuk seluruh inisiatif jika dikecualikan dari, atau memiliki kepatuhan yang tidak diketahui untuk, setiap kebijakan lain yang berlaku dalam inisiatif tersebut. Di sisi ekstrem lainnya, sumber daya yang tidak mematuhi setidaknya satu kebijakan yang berlaku dalam inisiatif memiliki status kepatuhan keseluruhan yang tidak patuh, terlepas dari kebijakan yang berlaku yang tersisa.
Persentase kepatuhan
Persentase kepatuhan ditentukan oleh pembagian sumber daya yang Sesuai, Dikecualikan, dan Tidak Diketahui dengan total sumber daya. Total sumber daya termasuk sumber daya dengan status Patuh, Tidak Patuh, Tidak Diketahui, Dikecualikan, Bertentangan, dan Kesalahan .
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Dalam gambar yang ditunjukkan, ada 20 sumber daya berbeda yang berlaku dan hanya satu yang Tidak patuh. Kepatuhan sumber daya secara keseluruhan adalah 95% (19 dari 20).
Langkah berikutnya
- Pelajari cara mendapatkan data kepatuhan
- Pelajari cara menentukan penyebab ketidakpatuhan
- Mendapatkan data kepatuhan melalui sampel kueri ARG
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk