Apa itu penerapan dalam Azure Policy?
Saat definisi kebijakan ditetapkan ke cakupan, Azure Policy menentukan sumber daya mana dalam cakupan tersebut yang harus dipertimbangkan untuk evaluasi kepatuhan. Sumber daya hanya dinilai untuk kepatuhan jika dianggap berlaku untuk penetapan kebijakan yang diberikan.
Beberapa faktor menentukan penerapan:
- Kondisi di
ifblok aturan kebijakan. - Mode definisi kebijakan.
- Cakupan yang dikecualikan yang ditentukan dalam penugasan.
- Pemilih sumber daya yang ditentukan dalam penugasan.
- Pengecualian sumber daya atau hierarki sumber daya.
Kondisi di if blok aturan kebijakan dievaluasi untuk penerapan dengan cara yang sedikit berbeda berdasarkan efeknya.
Catatan
Penerapan berbeda dari kepatuhan, dan logika yang digunakan untuk menentukan masing-masing berbeda. Jika sumber daya berlaku , itu berarti relevan dengan kebijakan. Jika sumber daya sesuai dengan itu berarti mematuhi kebijakan. Terkadang hanya kondisi tertentu dari aturan kebijakan yang memengaruhi penerapan, sementara semua kondisi aturan kebijakan memengaruhi status kepatuhan.
Mode Resource Manager
efek kebijakan ifNotExists
AuditIfNotExists Penerapan dan DeployIfNotExists kebijakan didasarkan pada seluruh if kondisi aturan kebijakan. if Ketika mengevaluasi ke false, kebijakan tidak berlaku.
Semua efek kebijakan lainnya
Azure Policy hanya typemengevaluasi kondisi , name, dan kind dalam ekspresi aturan if kebijakan dan memperlakukan kondisi lain sebagai benar (atau salah saat dinegasikan). Jika hasil evaluasi akhir benar, kebijakan tersebut berlaku. Jika tidak, itu tidak berlaku.
Berikut ini adalah kasus khusus untuk logika penerapan yang dijelaskan sebelumnya:
| Skenario | Hasil |
|---|---|
Alias apa pun yang if tidak valid dalam kondisi |
Kebijakan tidak berlaku |
if Ketika kondisi hanya kind terdiri dari kondisi |
Kebijakan ini berlaku untuk semua sumber daya |
if Ketika kondisi hanya name terdiri dari kondisi |
Kebijakan ini berlaku untuk semua sumber daya |
if Ketika kondisi hanya type terdiri dari kondisi dan kind |
Hanya type kondisi yang dipertimbangkan saat memutuskan penerapan |
if Ketika kondisi hanya type terdiri dari kondisi dan name |
Hanya type kondisi yang dipertimbangkan saat memutuskan penerapan |
if Ketika kondisi terdiri dari type, kind, dan kondisi lainnya |
Kedua type kondisi dan kind dipertimbangkan saat memutuskan penerapan |
if Ketika kondisi terdiri dari type, name, dan kondisi lainnya |
Kedua type kondisi dan name dipertimbangkan saat memutuskan penerapan |
Ketika kondisi apa pun (termasuk parameter penyebaran) menyertakan kondisi location |
Tidak berlaku untuk langganan |
Mode penyedia sumber daya
Microsoft.Kubernetes.Data
Microsoft.Kubernetes.Data Penerapan kebijakan didasarkan pada seluruh if kondisi aturan kebijakan. if Ketika mengevaluasi ke false, kebijakan tidak berlaku.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data, dan Microsoft.MachineLearningServices.v2.Data
Kebijakan dengan mode penyedia sumber daya ini berlaku jika type kondisi aturan kebijakan dievaluasi ke true. type mengacu pada jenis komponen.
Jenis komponen Key Vault:
Microsoft.KeyVault.Data/vaults/certificatesMicrosoft.KeyVault.Data/vaults/keysMicrosoft.KeyVault.Data/vaults/secrets
Jenis komponen Modul Keamanan Perangkat Keras Terkelola (HSM):
Microsoft.ManagedHSM.Data/managedHsms/keys
Jenis komponen Azure Data Factory:
Microsoft.DataFactory.Data/factories/outboundTraffic
Jenis komponen Azure Pembelajaran Mesin:
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Kebijakan dengan mode Microsoft.Network.Data berlaku jika type kondisi dan name aturan kebijakan dievaluasi ke true. type mengacu pada jenis komponen:
Microsoft.Network/virtualNetworks
Sumber Daya yang Tidak Berlaku
Mungkin ada situasi di mana sumber daya berlaku untuk penugasan berdasarkan kondisi atau cakupan, tetapi seharusnya tidak berlaku karena alasan bisnis. Pada saat itu, sebaiknya terapkan pengecualian atau pengecualian. Untuk mempelajari selengkapnya tentang kapan harus menggunakan salah satu, tinjau perbandingan cakupan
Catatan
Secara desain, Azure Policy tidak mengevaluasi sumber daya di bawah Microsoft.Resources penyedia sumber daya dari evaluasi kebijakan, kecuali untuk langganan dan grup sumber daya.
Langkah berikutnya
- Pelajari cara menandai sumber daya sebagai tidak berlaku.
- Bersandar lebih pada batasan penerapan
- Pelajari cara Mendapatkan data kepatuhan sumber daya Azure.
- Tinjau pembaruan dalam kepatuhan kebijakan untuk kebijakan jenis sumber daya.