Che cos'è l'applicabilità in Criteri di Azure?
Quando una definizione di criteri viene assegnata a un ambito, Criteri di Azure determina quali risorse in tale ambito devono essere considerate per la valutazione della conformità. Una risorsa verrà valutata per la conformità solo se viene considerata applicabile all'assegnazione di criteri specificata.
L'applicabilità è determinata da diversi fattori:
- Condizioni nel
ifblocco della regola dei criteri. - Modalità della definizione dei criteri.
- Ambiti esclusi specificati nell'assegnazione.
- Selettori di risorse specificati nell'assegnazione.
- Esenzioni di risorse o gerarchie di risorse.
Le condizioni nel if blocco della regola dei criteri vengono valutate per l'applicabilità in modi leggermente diversi in base all'effetto.
Nota
L'applicabilità è diversa dalla conformità e la logica usata per determinare ognuna è diversa. Se una risorsa è applicabile significa che è rilevante per i criteri. Se una risorsa è conforme significa che rispetta i criteri. A volte solo determinate condizioni dall'applicabilità dell'impatto della regola dei criteri, mentre tutte le condizioni della regola dei criteri influisce sullo stato di conformità.
Modalità di Resource Manager
- Effetti dei criteri -IfNotExists
L'applicabilità dei AuditIfNotExists criteri e DeployIfNotExists si basa sull'intera if condizione della regola dei criteri. Quando restituisce if false, il criterio non è applicabile.
Tutti gli altri effetti dei criteri
Criteri di Azure valuta solo typele condizioni , namee kind nell'espressione della regola if dei criteri e considera le altre condizioni come true (o false quando viene negata). Se il risultato della valutazione finale è true, il criterio è applicabile. In caso contrario, non è applicabile.
Di seguito sono riportati casi speciali per la logica di applicabilità descritta in precedenza:
| Scenario | Risultato |
|---|---|
Eventuali alias non validi nelle if condizioni |
Il criterio non è applicabile |
Quando le if condizioni sono costituite solo kind da condizioni |
Il criterio è applicabile a tutte le risorse |
Quando le if condizioni sono costituite solo name da condizioni |
Il criterio è applicabile a tutte le risorse |
Quando le if condizioni sono costituite solo type da condizioni e kind |
Solo type le condizioni vengono considerate quando si decide l'applicabilità |
Quando le if condizioni sono costituite solo type da condizioni e name |
Solo type le condizioni vengono considerate quando si decide l'applicabilità |
Quando le if condizioni sono costituite da type, kinde altre condizioni |
Entrambe le type condizioni e kind vengono considerate quando si decide l'applicabilità |
Quando le if condizioni sono costituite da type, namee altre condizioni |
Entrambe le type condizioni e name vengono considerate quando si decide l'applicabilità |
Quando eventuali condizioni (inclusi i parametri di distribuzione) includono una location condizione |
Non sarà applicabile alle sottoscrizioni |
Modalità provider di risorse
Microsoft.Kubernetes.Data
L'applicabilità dei Microsoft.Kubernetes.Data criteri si basa sull'intera if condizione della regola dei criteri. Quando restituisce if false, il criterio non è applicabile.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data e Microsoft.MachineLearningServices.v2.Data
I criteri con queste modalità RP sono applicabili se la type condizione della regola dei criteri restituisce true. Fa type riferimento al tipo di componente.
Tipi di componenti di Key Vault:
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
Tipo di componente HSM gestito:
- Microsoft.ManagedHSM.Data/managedHsms/keys
Tipo di componente di Azure Data Factory:
- Microsoft.DataFactory.Data/factory/outboundTraffic
Tipo di componente di Azure Machine Learning:
- Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
I criteri con modalità Microsoft.Network.Data sono applicabili se le type condizioni e name della regola dei criteri restituiscono true. Si type riferisce al tipo di componente:
- Microsoft.Network/virtualNetworks
Risorse non applicabili
Potrebbero verificarsi situazioni in cui le risorse sono applicabili a un'assegnazione in base a condizioni o ambito, ma non dovrebbero essere applicabili a causa di motivi aziendali. In quel momento, sarebbe preferibile applicare esclusioni o esenzioni. Per altre informazioni su quando usare uno dei due, esaminare il confronto tra ambiti
Nota
Per impostazione predefinita, Criteri di Azure non valuta le risorse nel Microsoft.Resources provider di risorse (RP) dalla valutazione dei criteri, ad eccezione delle sottoscrizioni e dei gruppi di risorse.
Passaggi successivi
- Informazioni su come contrassegnare le risorse come non applicabili.
- Sporgersi di più sulle limitazioni di applicabilità
- Informazioni su come ottenere i dati di conformità delle risorse di Azure.
- Esaminare l'aggiornamento nella conformità dei criteri per i criteri dei tipi di risorsa.