Comprendere l'ambito in Criteri di Azure
Esistono molte impostazioni che determinano quali risorse sono in grado di essere valutate e quali risorse vengono valutate da Criteri di Azure. Il concetto principale per questi controlli è l'ambito. L'ambito in Criteri di Azure si basa sul funzionamento dell'ambito in Azure Resource Manager. Per una panoramica generale, vedere Ambito in Azure Resource Manager.
Questo articolo illustra l'importanza dell'ambito in Criteri di Azure ed è correlato a oggetti e proprietà.
Posizione della definizione
L'ambito della prima istanza usato da Criteri di Azure è quando viene creata una definizione di criteri. La definizione può essere salvata in un gruppo di gestione o in una sottoscrizione. Il percorso determina l'ambito a cui è possibile assegnare l'iniziativa o il criterio. Le risorse devono trovarsi all'interno della gerarchia di risorse della posizione della definizione di destinazione per l'assegnazione. Le risorse coperte da Criteri di Azure descrivono come vengono valutati i criteri.
Se la posizione della definizione è:
- Sottoscrizione : la sottoscrizione in cui vengono definiti i criteri e le risorse all'interno di tale sottoscrizione possono essere assegnate alla definizione dei criteri.
- Gruppo di gestione: al gruppo di gestione in cui sono definiti i criteri e le risorse all'interno dei gruppi di gestione figlio e delle sottoscrizioni figlio possono essere assegnate alla definizione dei criteri. Se si prevede di applicare la definizione dei criteri a più sottoscrizioni, il percorso deve essere un gruppo di gestione che contiene ogni sottoscrizione.
Il percorso deve essere il contenitore di risorse condiviso da tutte le risorse in cui si vuole usare la definizione di criteri esistente. Questo contenitore di risorse è in genere un gruppo di gestione vicino al gruppo di gestione radice.
Ambiti di assegnazione
Un'assegnazione ha diverse proprietà che impostano un ambito. L'uso di queste proprietà determina quale risorsa per Criteri di Azure valutare e quali risorse vengono conteggiati per la conformità. Queste proprietà eseguono il mapping ai concetti seguenti:
Inclusione: una gerarchia di risorse o una singola risorsa deve essere valutata per la conformità in base alla definizione. La
properties.scopeproprietà di un oggetto assegnazione determina cosa includere e valutare la conformità. Per altre informazioni, vedere Definizione di assegnazione.Esclusione: una gerarchia di risorse o una singola risorsa non deve essere valutata per la conformità in base alla definizione. La
properties.notScopesproprietà della matrice in un oggetto di assegnazione determina cosa escludere. Le risorse all'interno di questi ambiti non vengono valutate o incluse nel conteggio delle conformità. Per altre informazioni, vedere Definizione di assegnazione - Ambiti esclusi.
Oltre alle proprietà per l'assegnazione dei criteri, è l'oggetto di esenzione dei criteri. Le esenzioni migliorano la storia dell'ambito fornendo un metodo per identificare una parte di un'assegnazione da non valutare.
Esenzione: una gerarchia di risorse o una singola risorsa deve essere valutata per la conformità in base alla definizione, ma non verrà valutata per un motivo, ad esempio la rinuncia o l'attenuazione tramite un altro metodo. Le risorse in questo stato vengono visualizzate come esentate nei report di conformità in modo che possano essere rilevate. L'oggetto esenzione viene creato nella gerarchia di risorse o nella singola risorsa come oggetto figlio, che determina l'ambito dell'esenzione. Una gerarchia di risorse o una singola risorsa può essere esente da più assegnazioni. L'esenzione può essere configurata per scadere in base a una pianificazione utilizzando la
expiresOnproprietà . Per altre informazioni, vedere Definizione di esenzione.Nota
A causa dell'impatto della concessione di un'esenzione per una gerarchia di risorse o una singola risorsa, le esenzioni hanno misure di sicurezza aggiuntive. Oltre a richiedere l'operazione
Microsoft.Authorization/policyExemptions/writesulla gerarchia di risorse o sulla singola risorsa, l'autore di un'esenzione deve avere ilexempt/Actionverbo per l'assegnazione di destinazione.
Confronto tra ambiti
La tabella seguente è un confronto delle opzioni di ambito:
| Inclusione | Esclusione (notScopes) | Esenzione | |
|---|---|---|---|
| Le risorse vengono valutate | ✔ | - | - |
| Oggetto Resource Manager | - | - | ✔ |
| Richiede la modifica dell'oggetto assegnazione dei criteri | ✔ | ✔ | - |
Come scegliere se usare un'esclusione o un'esenzione? In genere, le esclusioni sono consigliate per ignorare definitivamente la valutazione per un ambito ampio, ad esempio un ambiente di test che non richiede lo stesso livello di governance. Le esenzioni sono consigliate per scenari con limiti di tempo o più specifici in cui una risorsa o una gerarchia di risorse deve essere ancora monitorata e altrimenti valutata, ma esiste un motivo specifico per cui non deve essere valutata la conformità.
Passaggi successivi
- Informazioni sulla struttura delle definizioni dei criteri.
- Vedere come creare criteri a livello di codice.
- Leggere le informazioni su come ottenere dati sulla conformità.
- Informazioni su come correggere le risorse non conformi.
- Rivedere le caratteristiche di un gruppo di gestione illustrate in Organizzare le risorse con i gruppi di gestione di Azure.