Memahami cakupan dalam Azure Policy
Ada banyak pengaturan yang menentukan sumber daya mana yang mampu dievaluasi dan sumber daya mana yang dievaluasi oleh Azure Policy. Konsep utama untuk kontrol ini adalah cakupan. Cakupan dalam Azure Policy didasarkan pada cara kerja cakupan dalam Azure Resource Manager. Untuk ringkasan tingkat tinggi, lihat Cakupan di Azure Resource Manager.
Artikel ini menjelaskan pentingnya cakupan dalam Azure Policy serta objek dan properti terkaitnya.
Lokasi definisi
Cakupan instans pertama yang digunakan oleh Azure Policy adalah ketika definisi kebijakan dibuat. Definisi dapat disimpan dalam grup manajemen atau langganan. Lokasi tersebut menentukan cakupan yang dapat ditetapkan oleh inisiatif atau kebijakan. Sumber daya harus berada dalam hierarki sumber daya dari lokasi definisi untuk menargetkan penetapan. Sumber daya yang dicakup oleh Azure Policy menjelaskan bagaimana kebijakan dievaluasi.
Jika lokasi definisi adalah:
- Langganan - Langganan tempat kebijakan ditentukan dan sumber daya dalam langganan tersebut dapat ditetapkan definisi kebijakan.
- Grup manajemen - Grup manajemen tempat kebijakan ditentukan dan sumber daya dalam grup manajemen anak dan langganan anak dapat ditetapkan definisi kebijakan. Jika Anda berencana menerapkan definisi kebijakan ke beberapa langganan, lokasi tersebut harus merupakan grup manajemen yang berisi setiap langganan.
Lokasi harus berupa kontainer sumber daya yang digunakan bersama oleh semua sumber daya yang tempat Anda ingin menggunakan definisi kebijakan yang ada. Kontainer sumber daya ini biasanya merupakan grup manajemen di dekat grup manajemen akar.
Cakupan penetapan
Penetapan memiliki beberapa properti yang mengatur cakupan. Penggunaan properti ini menentukan sumber daya mana yang akan dievaluasi Azure Policy dan sumber daya mana yang diperhitungkan terhadap kepatuhan. Properti ini memetakan ke konsep berikut:
Inklusi - Hierarki sumber daya atau sumber daya individual harus dievaluasi kepatuhannya oleh definisi. Cakupan tempat objek penugasan berada menentukan apa yang harus disertakan dan dievaluasi untuk kepatuhan. Untuk informasi selengkapnya, lihat Definisi penetapan.
Eksklusi - Hierarki sumber daya atau sumber daya individual tidak boleh dievaluasi kepatuhannya oleh definisi. Properti array
properties.notScopespada objek penetapan menentukan perihal yang harus dikecualikan. Sumber daya dalam cakupan ini tidak dievaluasi atau disertakan dalam jumlah kepatuhan. Untuk informasi selengkapnya, lihat Definisi penetapan - cakupan yang dikecualikan.
Selain properti pada penetapan kebijakan, adalah objek pembebasan kebijakan. Pembebasan meningkatkan cerita cakupan dengan menyediakan metode untuk mengidentifikasi sebagian penetapan agar tidak dievaluasi.
Pembebasan - Sebuah hierarki sumber daya atau sumber daya individual harus dievaluasi kepatuhannya oleh definisi, tetapi tidak akan dievaluasi karena alasan seperti memiliki pengabaian atau dimitigasi melalui metode lain. Sumber daya dalam status ini ditampilkan sebagai Dibebaskan dalam laporan kepatuhan agar dapat dilacak. Objek pembebasan dibuat pada hierarki sumber daya atau sumber daya individual sebagai objek anak, yang menentukan cakupan pembebasan. Hirarki sumber daya atau sumber daya individu dapat dikecualikan dari beberapa tugas. Pembebasan dapat dikonfigurasi agar kedaluwarsa sesuai jadwal menggunakan properti
expiresOn. Untuk informasi selengkapnya, lihat Definisi pembebasan.Catatan
Karena dampak pemberian pembebasan untuk hierarki sumber daya atau sumber daya individu, pembebasan memiliki langkah-langkah keamanan tambahan. Selain mewajibkan operasi
Microsoft.Authorization/policyExemptions/writepada hierarki sumber daya atau sumber daya individual, pencipta pembebasan harus memiliki kata kerjaexempt/Actionpada penetapan target.
Perbandingan cakupan
Tabel berikut ini adalah perbandingan opsi cakupan:
| Inklusi | Pengecualian (notScopes) | Pembebasan | |
|---|---|---|---|
| Sumber daya dievaluasi | ✔ | - | - |
| Objek Resource Manager | - | - | ✔ |
| Memerlukan modifikasi objek penetapan kebijakan | ✔ | ✔ | - |
Jadi bagaimana Anda memilih apakah akan menggunakan pengecualian atau pengecualian? Biasanya pengecualian disarankan untuk secara permanen melewati evaluasi untuk cakupan luas seperti lingkungan pengujian yang tidak memerlukan tingkat tata kelola yang sama. Pengecualian direkomendasikan untuk skenario yang terikat waktu atau lebih spesifik di mana hierarki sumber daya atau sumber daya masih harus dilacak dan jika tidak akan dievaluasi, tetapi ada alasan khusus itu tidak boleh dinilai untuk kepatuhan.
Langkah berikutnya
- Pelajari tentang struktur definisi kebijakan.
- Memahami cara membuat kebijakan secara terprogram.
- Pelajari cara mendapatkan data kepatuhan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.
- Tinjau apa itu grup manajemen Atur sumber daya Anda dengan grup manajemen Azure.