Bagikan melalui


Dasar-dasar efek definisi Azure Policy

Setiap definisi kebijakan dalam Azure Policy memiliki satu effect di dalamnya policyRule. Itu effect menentukan apa yang terjadi ketika aturan kebijakan dievaluasi agar cocok. Efek berperilaku berbeda jika mereka digunakan untuk sumber daya baru, sumber daya yang diperbarui, atau sumber daya yang ada.

Berikut ini adalah efek definisi Azure Policy yang didukung:

Efek pertukaran

Terkadang beberapa efek dapat berlaku untuk definisi kebijakan tertentu. Parameter sering digunakan untuk menentukan nilai efek yang diizinkan (allowedValues) sehingga satu definisi dapat lebih serbaguna selama penugasan. Namun, penting untuk dicatat bahwa tidak semua efek dapat dipertukarkan. Properti sumber daya dan logika dalam aturan kebijakan dapat menentukan apakah efek tertentu dianggap valid terhadap definisi kebijakan. Misalnya, definisi kebijakan dengan efek auditIfNotExists memerlukan detail lain dalam aturan kebijakan yang tidak diperlukan untuk kebijakan dengan efek audit. Efeknya juga berulah berbeda. audit kebijakan menilai kepatuhan sumber daya berdasarkan propertinya sendiri, sementara auditIfNotExists kebijakan menilai kepatuhan sumber daya berdasarkan properti sumber daya anak atau ekstensi.

Daftar berikut adalah beberapa panduan umum seputar efek yang dapat dipertukarkan:

  • audit, deny, dan baik modify atau append sering dapat dipertukarkan.
  • auditIfNotExists dan deployIfNotExists sering dapat dipertukarkan.
  • manual tidak dapat dipertukarkan.
  • disabled dapat dipertukarkan dengan efek apa pun.

Urutan evaluasi

Evaluasi pertama Azure Policy adalah permintaan untuk membuat atau memperbarui sumber daya. Azure Policy membuat daftar semua penugasan yang berlaku untuk sumber daya lalu mengevaluasi sumber daya terhadap setiap definisi. Untuk mode Azure Resource Manager, Azure Policy memproses beberapa efek sebelum menyerahkan permintaan kepada Resource Provider yang sesuai. Urutan ini mencegah pemrosesan yang tidak perlu oleh Penyedia Sumber Daya saat sumber daya tidak memenuhi kontrol tata kelola Azure Policy yang dirancang. Dengan mode Resource Provider, Resource Provider mengelola evaluasi dan hasil serta melaporkan hasilnya kembali ke Azure Policy.

  • disabled diperiksa terlebih dahulu untuk menentukan apakah aturan kebijakan harus dievaluasi.
  • append dan modify kemudian dievaluasi. Karena dapat mengubah permintaan, perubahan yang dilakukan dapat mencegah audit atau menolak efek dari pemicu. Efek ini hanya tersedia dengan mode Azure Resource Manager.
  • deny kemudian dievaluasi. Dengan mengevaluasi tolak sebelum audit, pencatatan ganda sumber daya yang tidak diinginkan dicegah.
  • audit dievaluasi.
  • manual dievaluasi.
  • auditIfNotExists dievaluasi.
  • denyAction dievaluasi terakhir.

Setelah Penyedia Sumber Daya mengembalikan kode keberhasilan pada permintaan mode Resource Manager, auditIfNotExists dan deployIfNotExists mengevaluasi untuk menentukan apakah diperlukan lebih banyak pencatatan atau tindakan kepatuhan.

PATCH permintaan yang hanya mengubah tags bidang terkait membatasi evaluasi kebijakan untuk kebijakan yang berisi kondisi yang memeriksa tags bidang terkait.

Definisi kebijakan lapisan

Beberapa tugas dapat memengaruhi sumber daya. Penugasan ini mungkin berada pada cakupan yang sama atau pada cakupan yang berbeda. Masing-masing penugasan ini juga cenderung memiliki efek yang berbeda yang ditentukan. Kondisi dan efek untuk setiap kebijakan dievaluasi secara independen. Contohnya:

  • Kebijakan 1
    • Membatasi lokasi sumber daya ke westus
    • Ditetapkan ke langganan A
    • Efek tolak
  • Kebijakan 2
    • Membatasi lokasi sumber daya ke eastus
    • Ditugaskan ke grup sumber daya B dalam langganan A
    • Efek audit

Penyiapan ini akan memberikan hasil berikut:

  • Sumber daya apa pun yang sudah berada dalam grup sumber daya B sesuai eastus dengan kebijakan 2 dan tidak mematuhi kebijakan 1
  • Sumber daya apa pun yang sudah ada di grup sumber daya B yang tidak masuk eastus tidak sesuai dengan kebijakan 2 dan tidak mematuhi kebijakan 1 jika tidak westus
  • Kebijakan 1 menolak sumber daya baru apa pun dalam langganan A tidak ada di westus
  • Setiap sumber daya baru dalam langganan A dan grup sumber daya B di westus dibuat dan tidak mematuhi kebijakan 2

Jika kebijakan 1 dan kebijakan 2 berpengaruh pada efek tolak, situasi berubah menjadi:

  • Sumber daya apa pun yang sudah ada di eastus grup sumber daya B tidak sesuai dengan kebijakan 2
  • Sumber daya apa pun yang sudah ada di westus grup sumber daya B tidak sesuai dengan kebijakan 1
  • Kebijakan 1 menolak sumber daya baru apa pun dalam langganan A tidak ada di westus
  • Sumber daya baru dalam grup sumber daya B langganan A ditolak

Setiap penugasan dievaluasi satu per satu. Dengan demikian, tidak ada kesempatan bagi sumber daya untuk menyelinap melalui celah dari perbedaan ruang lingkup. Hasil bersih dari definisi kebijakan lapisan dianggap kumulatif yang paling ketat. Sebagai contoh, jika kebijakan 1 dan 2 berpengaruh deny , sumber daya akan diblokir oleh definisi kebijakan yang tumpang tindih dan bertentangan. Jika Anda masih memerlukan sumber daya untuk dibuat dalam lingkup target, tinjau pengecualian pada setiap tugas untuk memvalidasi penetapan kebijakan yang tepat memengaruhi cakupan yang tepat.

Langkah berikutnya