Nozioni di base sugli effetti delle definizioni Criteri di Azure

  • Articolo

Ogni definizione di criteri in Criteri di Azure ha un singolo effect oggetto nel relativo policyRuleoggetto . Ciò effect determina cosa accade quando la regola dei criteri viene valutata in modo che corrisponda. Il comportamento degli effetti varia a seconda che riguardino una nuova risorsa, una risorsa aggiornata o una risorsa esistente.

Di seguito sono riportati gli effetti di definizione Criteri di Azure supportati:

Effetti di interscambio

A volte più effetti possono essere validi per una determinata definizione di criteri. I parametri vengono spesso usati per specificare i valori di effetto consentiti (allowedValues) in modo che una singola definizione possa essere più versatile durante l'assegnazione. Tuttavia, è importante notare che non tutti gli effetti sono intercambiabili. Le proprietà delle risorse e la logica nella regola dei criteri possono determinare se un determinato effetto è considerato valido per la definizione dei criteri. Ad esempio, le definizioni dei criteri con effetto auditIfNotExists richiedono altri dettagli nella regola dei criteri che non sono necessari per i criteri con effetto audit. Gli effetti si comportano anche in modo diverso. audit i criteri valutano la conformità di una risorsa in base alle proprie proprietà, mentre auditIfNotExists i criteri valutano la conformità di una risorsa in base alle proprietà di una risorsa figlio o di estensione.

L'elenco seguente include alcune indicazioni generali sugli effetti intercambiabili:

  • audit, denye o modifyappend sono spesso intercambiabili.
  • auditIfNotExists e deployIfNotExists sono spesso intercambiabili.
  • manual non è intercambiabile.
  • disabled è intercambiabile con qualsiasi effetto.

Ordine di valutazione

la prima valutazione di Criteri di Azure è destinata alle richieste di creare o aggiornare una risorsa. Criteri di Azure crea un elenco di tutte le assegnazioni che si applicano alla risorsa e valuta quindi la risorsa rispetto a ogni definizione. Per una modalità Resource Manager, Criteri di Azure elabora diversi effetti prima di distribuire la richiesta al provider di risorse appropriato. Questo ordine impedisce l'elaborazione non necessaria da parte di un provider di risorse quando una risorsa non soddisfa i controlli di governance progettati di Criteri di Azure. Con una modalità provider di risorse, il provider di risorse gestisce la valutazione e il risultato e segnala i risultati a Criteri di Azure.

  • disabled viene prima verificata per determinare se la regola dei criteri deve essere valutata.
  • append e modify vengono quindi valutati. Poiché può modificare la richiesta, una modifica apportata potrebbe impedire l'attivazione di un controllo o un effetto di negazione. Questi effetti sono disponibili solo con una modalità Resource Manager.
  • deny viene quindi valutato. La valutazione di Deny prima di Audit impedisce la doppia registrazione di una risorsa non desiderata.
  • audit viene valutato.
  • manual viene valutato.
  • auditIfNotExists viene valutato.
  • denyAction viene valutato per ultimo.

Dopo che il provider di risorse restituisce un codice di operazione riuscita in una richiesta auditIfNotExists in modalità Resource Manager e deployIfNotExists valuta se è necessaria una registrazione o un'azione di conformità maggiore.

PATCH le richieste che modificano tags solo i campi correlati limitano la valutazione dei criteri ai criteri contenenti condizioni che controllano tags i campi correlati.

Disposizione delle definizioni dei criteri su più livelli

Diverse assegnazioni possono influire su una risorsa. Queste assegnazioni potrebbero trovarsi nello stesso ambito o in ambiti diversi. È anche probabile che ognuna di queste assegnazioni abbia un effetto diverso definito. La condizione e l'effetto per ogni criterio vengono valutati in modo indipendente. Ad esempio:

  • Criterio 1
    • Limita la posizione delle risorse a westus
    • Assegnato alla sottoscrizione A
    • Effetto Deny
  • Criterio 2
    • Limita la posizione delle risorse a eastus
    • Assegnato al gruppo di risorse B nella sottoscrizione A
    • Effetto Audit

Questa configurazione produrrebbe il risultato seguente:

  • Qualsiasi risorsa già presente nel gruppo di risorse B in eastus è conforme ai criteri 2 e non conformi ai criteri 1
  • Qualsiasi risorsa già presente nel gruppo di risorse B non eastus è conforme ai criteri 2 e non conformi ai criteri 1 se non in westus
  • Il criterio 1 nega qualsiasi nuova risorsa nella sottoscrizione A non in westus
  • Qualsiasi nuova risorsa nella sottoscrizione A e nel gruppo di risorse B in westus viene creata e non conforme ai criteri 2

Se entrambi i criteri 1 e 2 avessero l'effetto Deny, la situazione diventerebbe la seguente:

  • Qualsiasi risorsa già presente nel gruppo di risorse B non eastus è conforme ai criteri 2
  • Qualsiasi risorsa già presente nel gruppo di risorse B non westus è conforme ai criteri 1
  • Il criterio 1 nega qualsiasi nuova risorsa nella sottoscrizione A non in westus
  • Qualsiasi nuova risorsa nel gruppo di risorse B della sottoscrizione A viene negata

Ogni assegnazione viene valutata singolarmente. Di conseguenza, non c'è alcuna possibilità di inserire per sbaglio una risorsa a causa delle differenze nell'ambito. Il risultato finale della disposizione delle definizioni dei criteri su più livelli è considerato cumulativo più restrittivo. Ad esempio, se i criteri 1 e 2 hanno un deny effetto, una risorsa verrebbe bloccata dalle definizioni di criteri sovrapposte e in conflitto. Se è ancora necessario che la risorsa venga creata nell'ambito di destinazione, rivedere le esclusioni per ogni assegnazione per verificare che le assegnazioni dei criteri corretti interessino gli ambiti corretti.

Passaggi successivi