Informazioni sull'ambito in Criteri di Azure
Esistono molte impostazioni che determinano quali risorse sono in grado di essere valutate e quali risorse vengono valutate da Criteri di Azure. Il concetto principale per questi controlli è l'ambito. L'ambito in Criteri di Azure si basa sul funzionamento dell'ambito in Azure Resource Manager. Per una panoramica generale, vedere Ambito in Azure Resource Manager.
Questo articolo illustra l'importanza dell'ambito in Criteri di Azure e gli oggetti e le proprietà correlati.
Posizione della definizione
L'ambito della prima istanza usato da Criteri di Azure è quando viene creata una definizione di criteri. La definizione potrebbe essere salvata in un gruppo di gestione o in una sottoscrizione. La posizione determina l'ambito al quale la definizione delle iniziative o dei criteri può essere assegnata. Le risorse devono trovarsi all'interno della gerarchia di risorse della posizione della definizione di destinazione per l'assegnazione. La sezione Risorse coperte da Criteri di Azure descrive come vengono valutati i criteri.
Se la posizione della definizione è:
- Sottoscrizione: la sottoscrizione in cui vengono definiti i criteri e le risorse all'interno di tale sottoscrizione possono essere assegnate alla definizione dei criteri.
- Gruppo di gestione: al gruppo di gestione in cui sono definiti i criteri e le risorse all'interno dei gruppi di gestione figlio e delle sottoscrizioni figlio possono essere assegnate alla definizione dei criteri. Se si intende applicare questa definizione di criteri a più sottoscrizioni, la posizione deve essere un gruppo di gestione contenente ogni sottoscrizione.
Il percorso deve essere il contenitore di risorse condiviso da tutte le risorse in cui si vuole usare la definizione di criteri esistente. Questo contenitore di risorse è in genere un gruppo di gestione vicino al gruppo di gestione radice.
Ambiti assegnazioni
Un'assegnazione ha diverse proprietà che impostano un ambito. L'uso di queste proprietà determina quale risorsa per Criteri di Azure valutare e quali risorse vengono conteggiate per la conformità. Queste proprietà sono correlate ai concetti seguenti:
- Inclusione: una definizione valuta la conformità per una gerarchia di risorse o una risorsa singola. L'ambito dell'oggetto di assegnazione determina cosa includere e valutare per la conformità. Per altre informazioni, vedere Struttura di assegnazione di Criteri di Azure.
- Esclusione: una definizione non dovrebbe valutare la conformità per una gerarchia di risorse o una risorsa singola. La proprietà della
properties.notScopes
matrice in un oggetto di assegnazione determina cosa escludere. Le risorse all'interno di questi ambiti non vengono valutate o incluse nel conteggio delle conformità. Per altre informazioni, vedere Ambiti esclusi della struttura di assegnazione di Criteri di Azure.
Oltre alle proprietà per l'assegnazione dei criteri, è l'oggetto di struttura di esenzione dei criteri di Azure. Le esenzioni migliorano la storia dell'ambito fornendo un metodo per identificare una parte di un'assegnazione da non valutare.
Esenzione: una definizione valuta la conformità per una gerarchia di risorse o una singola risorsa, ma non valuta un motivo, ad esempio una rinuncia o una mitigazione tramite un altro metodo. Le risorse in questo stato vengono visualizzate come esentate nei report di conformità in modo che possano essere rilevate. L'oggetto esenzione viene creato nella gerarchia di risorse o nella singola risorsa come oggetto figlio, che determina l'ambito dell'esenzione. Una gerarchia di risorse o una singola risorsa può essere esente da più assegnazioni. L'esenzione potrebbe essere configurata per scadere in base a una pianificazione usando la proprietà expiresOn
. Per altre informazioni, vedere Struttura di esenzione di Criteri di Azure.
Nota
A causa dell'impatto della concessione di un'esenzione per una gerarchia di risorse o una singola risorsa, le esenzioni hanno misure di sicurezza aggiuntive. Oltre a richiedere l'operazione Microsoft.Authorization/policyExemptions/write
sulla gerarchia di risorse o sulla singola risorsa, l'autore di un'esenzione deve avere il verbo exempt/Action
per l'assegnazione di destinazione.
Confronto tra ambiti
La tabella seguente è un confronto delle opzioni di ambito:
Risorse | Inclusione | Esclusione (notScopes) | Esenzione |
---|---|---|---|
Le risorse vengono valutate | ✔ | - | - |
Oggetto Resource Manager | - | - | ✔ |
Richiede la modifica dell'oggetto assegnazione dei criteri | ✔ | ✔ | - |
Come scegliere se usare un'esclusione o un'esenzione? In genere, le esclusioni sono consigliate per ignorare definitivamente la valutazione per un ambito ampio, ad esempio un ambiente di test che non richiede lo stesso livello di governance. Le esenzioni sono consigliate per scenari con limiti di tempo o più specifici in cui una risorsa o una gerarchia di risorse deve essere ancora monitorata e altrimenti valutata, ma esiste un motivo specifico per cui non deve essere valutata la conformità.
Passaggi successivi
- Informazioni sulla struttura delle definizioni dei criteri.
- Vedere come creare criteri a livello di codice.
- Leggere le informazioni su come ottenere dati sulla conformità.
- Informazioni su come correggere le risorse non conformi.
- Altre informazioni su come Organizzare le risorse con i gruppi di gestione di Azure.