Informazioni sull'ambito in Criteri di Azure
Esistono molte impostazioni che determinano quali risorse sono in grado di essere valutate e quali risorse vengono valutate da Criteri di Azure. Il concetto principale per questi controlli è l'ambito. L'ambito in Criteri di Azure si basa sul funzionamento dell'ambito in Azure Resource Manager. Per una panoramica generale, vedere Ambito in Azure Resource Manager.
Questo articolo illustra l'importanza dell'ambito in Criteri di Azure ed è correlato a oggetti e proprietà.
Posizione della definizione
L'ambito della prima istanza usato da Criteri di Azure è quando viene creata una definizione di criteri. La definizione può essere salvata in un gruppo di gestione o in una sottoscrizione. La posizione determina l'ambito al quale la definizione delle iniziative o dei criteri può essere assegnata. Le risorse devono trovarsi all'interno della gerarchia di risorse della posizione della definizione di destinazione per l'assegnazione. La sezione Risorse coperte da Criteri di Azure descrive come vengono valutati i criteri.
Se la posizione della definizione è:
- Sottoscrizione: la sottoscrizione in cui vengono definiti i criteri e le risorse all'interno di tale sottoscrizione possono essere assegnate alla definizione dei criteri.
- Gruppo di gestione: al gruppo di gestione in cui sono definiti i criteri e le risorse all'interno dei gruppi di gestione figlio e delle sottoscrizioni figlio possono essere assegnate alla definizione dei criteri. Se si intende applicare questa definizione di criteri a più sottoscrizioni, la posizione deve essere un gruppo di gestione contenente ogni sottoscrizione.
Il percorso deve essere il contenitore di risorse condiviso da tutte le risorse in cui si vuole usare la definizione di criteri esistente. Questo contenitore di risorse è in genere un gruppo di gestione vicino al gruppo di gestione radice.
Ambiti assegnazioni
Un'assegnazione ha diverse proprietà che impostano un ambito. L'uso di queste proprietà determina quale risorsa per Criteri di Azure valutare e quali risorse vengono conteggiate per la conformità. Queste proprietà sono correlate ai concetti seguenti:
Inclusione: una gerarchia di risorse o una singola risorsa deve essere valutata per la conformità in base alla definizione. L'ambito di in cui l'oggetto di assegnazione risiede determina cosa includere e valutare per la conformità. Per altre informazioni, vedere Definizione di assegnazione.
Esclusione: una gerarchia di risorse o una singola risorsa non deve essere valutata per la conformità in base alla definizione. La proprietà della
properties.notScopesmatrice in un oggetto di assegnazione determina cosa escludere. Le risorse all'interno di questi ambiti non vengono valutate o incluse nel conteggio delle conformità. Per altre informazioni, vedere Definizione di assegnazione - Ambiti esclusi.
Oltre alle proprietà per l'assegnazione dei criteri, è l'oggetto di esenzione dei criteri. Le esenzioni migliorano la storia dell'ambito fornendo un metodo per identificare una parte di un'assegnazione da non valutare.
Esenzione: una gerarchia di risorse o una singola risorsa deve essere valutata per la conformità in base alla definizione, ma non verrà valutata per un motivo, ad esempio la rinuncia o l'attenuazione tramite un altro metodo. Le risorse in questo stato vengono visualizzate come esentate nei report di conformità in modo che possano essere rilevate. L'oggetto esenzione viene creato nella gerarchia di risorse o nella singola risorsa come oggetto figlio, che determina l'ambito dell'esenzione. Una gerarchia di risorse o una singola risorsa può essere esente da più assegnazioni. L'esenzione può essere configurata per scadere in base a una pianificazione usando la proprietà
expiresOn. Per altre informazioni, vedere Definizione di esenzione.Nota
A causa dell'impatto della concessione di un'esenzione per una gerarchia di risorse o una singola risorsa, le esenzioni hanno misure di sicurezza aggiuntive. Oltre a richiedere l'operazione
Microsoft.Authorization/policyExemptions/writesulla gerarchia di risorse o sulla singola risorsa, l'autore di un'esenzione deve avere il verboexempt/Actionper l'assegnazione di destinazione.
Confronto tra ambiti
La tabella seguente è un confronto delle opzioni di ambito:
| Inclusione | Esclusione (notScopes) | Esenzione | |
|---|---|---|---|
| Le risorse vengono valutate | ✔ | - | - |
| Oggetto Resource Manager | - | - | ✔ |
| Richiede la modifica dell'oggetto assegnazione dei criteri | ✔ | ✔ | - |
Come scegliere se usare un'esclusione o un'esenzione? In genere, le esclusioni sono consigliate per ignorare definitivamente la valutazione per un ambito ampio, ad esempio un ambiente di test che non richiede lo stesso livello di governance. Le esenzioni sono consigliate per scenari con limiti di tempo o più specifici in cui una risorsa o una gerarchia di risorse deve essere ancora monitorata e altrimenti valutata, ma esiste un motivo specifico per cui non deve essere valutata la conformità.
Passaggi successivi
- Informazioni sulla struttura delle definizioni dei criteri.
- Vedere come creare criteri a livello di codice.
- Leggere le informazioni su come ottenere dati sulla conformità.
- Informazioni su come correggere le risorse non conformi.
- Rivedere le caratteristiche di un gruppo di gestione illustrate in Organizzare le risorse con i gruppi di gestione di Azure.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per