次の方法で共有


Azure Policy での適用性とは

ポリシー定義がスコープに割り当てられると、Azure Policy ではそのスコープ内のどのリソースをコンプライアンス評価のために考慮するかが決定されます。 リソースは、特定のポリシー割り当てに適用可能と見なされる場合にのみ、コンプライアンスに対して評価されます。

適用性は、いくつかの要因によって決まります。

  • ポリシー ルールif ブロックの条件
  • ポリシー定義のモード
  • 割り当てで指定されている、除外されたスコープ
  • 割り当てで指定されたリソース セレクター
  • リソースまたはリソース階層の除外

ポリシー ルールの if ブロック内の条件は、効果に基づいて、適用性について少し異なる方法で評価されます。

注意

適用性はコンプライアンスとは異なり、それぞれを決定するために使用されるロジックは異なります。 リソースが適用可能ということは、ポリシーに関連していることを意味します。 リソースが準拠しているということは、ポリシーに従うことを意味します。 ポリシー ルールの特定の条件のみが適用性に影響し、ポリシー ルールのすべての条件がコンプライアンス状態に影響する場合があります。

Resource Manager のモード

-IfNotExists ポリシーの効果

AuditIfNotExists および DeployIfNotExists ポリシーの適用性は、ポリシー 規則の if 条件全体に基づいています。 if の評価結果が false の場合、ポリシーは適用されません。

その他すべてのポリシーの効果

Azure Policy では、ポリシー ルールの if 式のtypenamekind 条件のみを評価し、他の条件を true (または否定された場合は false) として扱います。 最終的な評価結果が true の場合、ポリシーが適用されます。 それ以外の場合は適用されません。

前に説明した適用性のロジックの特殊なケースを次に示します。

シナリオ 結果
if 条件内の無効なエイリアス ポリシーは適用されません
if 条件が kind 条件のみで構成されている場合 ポリシーはすべてのリソースに適用されます
if 条件が name 条件のみで構成されている場合 ポリシーはすべてのリソースに適用されます
if 条件が type および kind 条件のみで構成されている場合 適用性を決定する際に考慮されるのは type 条件のみです
if 条件が type および name 条件のみで構成されている場合 適用性を決定する際に考慮されるのは type 条件のみです
if 条件が typekind、およびその他の条件で構成されている場合 適用性を決定する際に typekind の両方が考慮されます
if 条件が typename、およびその他の条件で構成されている場合 適用性を決定する際に typename の両方が考慮されます
location 条件 (デプロイ パラメーターを含む) に条件が含まれている場合 サブスクリプションには適用されません

リソース プロバイダーのモード

Microsoft.Kubernetes.Data

Microsoft.Kubernetes.Data ポリシーの適用性は、ポリシー 規則の if 条件全体に基づいています。 if の評価結果が false の場合、ポリシーは適用されません。

Microsoft.KeyVault.Data、Microsoft.ManagedHSM.Data、Microsoft.DataFactory.Data、Microsoft.MachineLearningServices.v2.Data

これらの RP モードのポリシーは、ポリシー規則の type 条件が true と評価された場合に適用されます。 type は、コンポーネントの種類を指します。

Key Vault コンポーネントの種類:

  • Microsoft.KeyVault.Data/vaults/certificates
  • Microsoft.KeyVault.Data/vaults/keys
  • Microsoft.KeyVault.Data/vaults/secrets

マネージド HSM コンポーネントの種類:

  • Microsoft.ManagedHSM.Data/managedHsms/keys

Azure Data Factory コンポーネントの種類:

  • Microsoft.DataFactory.Data/factories/outboundTraffic

Azure Machine Learning コンポーネントの種類:

  • Microsoft.MachineLearningServices.v2.Data/ワークスペース/展開

Microsoft.Network.Data

モード Microsoft.Network.Data のポリシーは、ポリシー規則の type および name 条件が true と評価された場合に適用されます。 type は、次のようなコンポーネントの種類を指します。

  • Microsoft.Network/virtualNetworks

適用されないリソース

リソースが条件またはスコープに基づいて割り当てに適用されるが、ビジネス上の理由から適用すべきでない場合があります。 その時点で、除外または適用除外を適用することをお勧めします。 どちらを使用するかの詳細については、スコープの比較をご覧ください

Note

設計上、Azure Policy は、サブスクリプションとリソース グループを除き、ポリシー評価からの Microsoft.Resources リソース プロバイダー (RP) のリソースを評価しません。

次のステップ