Руководство по Создание политик и управление ими для обеспечения соответствия требованиям
Понимание того, как создавать политики и управлять ими в Azure, важно для обеспечения соответствия корпоративным стандартам и соглашениям об уровне обслуживания. В этом руководстве вы научитесь использовать службу "Политика Azure" для выполнения некоторых общих задач, связанных с созданием, назначением и управлением политиками в вашей организации, таких как:
- Назначение политики для применения условий для ресурсов, которые вы создадите в будущем.
- Создание и назначение определения инициативы для отслеживания соответствия нескольких ресурсов.
- Обход запрета на создание несоответствующих или отклоненных ресурсов
- Внедрение новой политики в организации.
В кратких руководствах вы можете узнать, как назначить политику, чтобы определить текущее состояние соответствия имеющихся ресурсов.
Необходимые компоненты
Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
Назначение политики
Первым шагом для обеспечения соответствия Политике Azure является назначение определения политики. Определение политики определяет, при каких условиях применяется политика и какой результат это даст. В этом примере назначьте определение встроенной политики Наследовать тег из группы ресурсов, если он отсутствует, чтобы добавить указанный тег с его значением из родительской группы ресурсов в новые или обновленные ресурсы, в которых отсутствует тег.
Перейдите на портал Azure, чтобы назначить политики. Найдите в поиске и выберите пункт Политика.
Выберите Назначения на странице службы Политики Azure слева. Назначение — это политика, которая назначена в рамках определенной области.
Выберите "Назначить политику " в верхней части политики | Страница назначений .
На странице Назначить политику, на вкладке Основные сведения выберите значение в поле Область. Для этого нажмите кнопку с многоточием и выберите группу управления или подписку. Либо выберите группу ресурсов. Она определяет, к каким ресурсам или группе ресурсов принудительно применяется назначение политики. Теперь щелкните Выбрать в нижней части страницы Область.
Ресурсы можно исключить на основе параметра Область. Исключения начинаются на один уровень ниже уровня параметра Область. Исключения являются необязательными, поэтому пока оставьте это поле пустым.
Выберите многоточие рядом с пунктом Определение политики, чтобы открыть список доступных определений. Вы можете фильтровать определение политики Тип по встроенному значению, чтобы просмотреть все политики и их описания.
Выберите Наследовать тег из группы ресурсов, если он отсутствует. Если не удается быстро найти этот элемент, введите inherit a tag (наследовать тег) в поле поиска и нажмите клавишу ВВОД или щелкните в любом месте вне поля поиска. Щелкните Выбрать в нижней части страницы доступных определений после того, как найдете и выберете определение политики.
Версия автоматически заполняется последней основной версией определения и устанавливается для автоматического перебора любых некрикционных изменений. Вы можете изменить версию на других пользователей, если она доступна или изменить параметры приема, но никаких изменений не требуется. Переопределения являются необязательными , поэтому оставьте его пустым.
Имя назначения автоматически заполняется выбранным именем политики, но его можно изменить. В этом примере оставьте параметр Наследовать тег из группы ресурсов, если он отсутствует. При желании вы можете добавить необязательное описание. Описание содержит сведения о назначении этой политики.
Для параметра Применение политик сохраните значение Включено. При выборе варианта Отключено вы сможете проверить результат применения политики, не запуская соответствующее действие. Дополнительные сведения о режиме применения политик см. здесь.
В верхней части страницы мастера выберите вкладку Параметры.
Укажите Среда в поле Имя тега.
В верхней части страницы мастера выберите вкладку Рекомендации.
Снимите флажок Создание задачи исправления, если он установлен. Это поле позволяет создать задачу для применения изменений ко всем существующим ресурсам, а не только к новым или обновляемым. Дополнительные сведения см. в статье об исправлении ресурсов.
Флажок Создать управляемое удостоверение устанавливается автоматически, так как это определение политики использует эффект modify (изменение). Для управляемого удостоверения задано значение System Assigned. Для параметра Разрешения автоматически устанавливается значение Участник на основе определения политики. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure? и разделе Как работают элементы управления доступом к исправлению.
В верхней части окна мастера выберите элемент Non-compliance messages (Сообщения о несоответствии).
Задайте для параметра Non-compliance message (Сообщение о несоответствии) значение This resource doesn't have the required tag (Этот ресурс не отмечен требуемым тегом). Это пользовательское сообщение отображается, когда ресурс отклоняется или определяется как несоответствующий во время регулярной оценки.
В верхней части страницы мастера выберите вкладку Просмотр и создание.
Проверьте выбранные значения и щелкните Создать в нижней части страницы.
Реализация новой пользовательской политики
Назначив определение встроенной политики, можно использовать новые возможности работы со службой "Политика Azure". Создайте пользовательскую политику, чтобы снизить расходы. Это гарантирует, что в вашей среде не могут создаваться виртуальные машины серии G. Таким образом, каждый раз, когда пользователь в вашей организации пытается создать виртуальную машину серии G, запрос отклоняется.
Выберите Определения в разделе Разработка в левой части страницы службы Политика Azure.
Выберите + Policy definition (+ Определение политики) в верхней части страницы. При этом откроется страница Определение политики.
Введите следующие данные:
Группа управления или подписка, в которой сохраняется определение политики. Выберите, нажав на кнопку с многоточием в области Расположение определения.
Примечание.
Если вы планируете применять это определение политики к нескольким подпискам, расположение должно быть группой управления, содержащей подписки, которым вы назначите политику. То же самое верно и для определения инициативы.
Имя определения политики — Require VM SKUs not in the G series (Требовать номер SKU виртуальной машины, не относящийся к серии G).
Описание того, для чего предназначено определение политики. Это определение политики гарантирует, что все виртуальные машины, созданные в этой области, будут иметь номера SKU, не относящиеся к серии G, что позволяет сэкономить затраты.
Выберите из имеющихся параметров (например, Вычисление) или создайте категорию для этого определения политики.
Скопируйте следующий код JSON и обновите его в соответствии со своими потребностями.
- параметры политики;
- правила и условия политики, в данном случае — номер SKU виртуальной машины, соответствующий серии G;
- эффект политики, в этом случае — действие Отменить.
Код JSON должен выглядеть следующим образом. Вставьте измененный код на портале Azure.
{ "policyRule": { "if": { "allOf": [{ "field": "type", "equals": "Microsoft.Compute/virtualMachines" }, { "field": "Microsoft.Compute/virtualMachines/sku.name", "like": "Standard_G*" } ] }, "then": { "effect": "deny" } } }
Свойство field в правиле политики должно иметь одно из поддерживаемых значений. Полный список допустимых значений вы найдете в описании полей структуры определения политики. Вот пример псевдонима:
"Microsoft.Compute/VirtualMachines/Size"
.Больше примеров для службы "Политика Azure" см. в статье Примеры для Политики Azure.
Выберите Сохранить.
Создание определения политики с использованием REST API
Для создания политики вы можете использовать REST API для определений Политики Azure. API REST позволяет создавать и удалять определения политик и получать сведения о существующих определениях. Чтобы создать определение политики, используйте следующий пример.
PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.authorization/policydefinitions/{policyDefinitionName}?api-version={api-version}
Добавьте текст запроса. Ниже приведен соответствующий пример.
{
"properties": {
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
}
}
},
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
Создание определения политики с помощью PowerShell
Прежде чем продолжить работу с примером PowerShell, убедитесь, что у вас установлена последняя версия модуля Az для Azure PowerShell.
Определение политики можно создать с помощью командлета New-AzPolicyDefinition
.
Чтобы создать определение политики из файла, передайте путь в файл. Для внешнего файла используйте следующий пример.
$definition = New-AzPolicyDefinition `
-Name 'denyCoolTiering' `
-DisplayName 'Deny cool access tiering for storage' `
-Policy 'https://raw.githubusercontent.com/Azure/azure-policy-samples/master/samples/Storage/storage-account-access-tier/azurepolicy.rules.json'
Для применения локального файла используйте следующий пример.
$definition = New-AzPolicyDefinition `
-Name 'denyCoolTiering' `
-Description 'Deny cool access tiering for storage' `
-Policy 'c:\policies\coolAccessTier.json'
Для создания определения политики с помощью встроенного правила используйте следующий пример.
$definition = New-AzPolicyDefinition -Name 'denyCoolTiering' -Description 'Deny cool access tiering for storage' -Policy '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "kind",
"equals": "BlobStorage"
},
{
"field": "Microsoft.Storage/storageAccounts/accessTier",
"equals": "cool"
}
]
},
"then": {
"effect": "deny"
}
}'
Выходные данные сохраняются в объекте $definition
, который используется при назначении политики. В следующем примере создается определение политики, которое включает параметры:
$policy = '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field": "location",
"in": "[parameters(''allowedLocations'')]"
}
}
]
},
"then": {
"effect": "Deny"
}
}'
$parameters = '{
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying storage accounts.",
"strongType": "location",
"displayName": "Allowed locations"
}
}
}'
$definition = New-AzPolicyDefinition -Name 'storageLocations' -Description 'Policy to specify locations for storage accounts.' -Policy $policy -Parameter $parameters
Просмотр определений политики с помощью PowerShell
Чтобы просмотреть все определения политик в подписке, используйте приведенную ниже команду.
Get-AzPolicyDefinition
Она возвращает все доступные определения политик, включая встроенные политики. Каждая политика возвращается в приведенном ниже формате.
Name : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceName : e56962a6-4747-49cd-b67b-bf8b01975c4c
ResourceType : Microsoft.Authorization/policyDefinitions
Properties : @{displayName=Allowed locations; policyType=BuiltIn; description=This policy enables you to
restrict the locations your organization can specify when deploying resources. Use to enforce
your geo-compliance requirements.; parameters=; policyRule=}
PolicyDefinitionId : /providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c
Создание определения политики с использованием Azure CLI
Определение политики можно создать с помощью команды az policy definition
в Azure CLI. Для создания определения политики с помощью встроенного правила используйте следующий пример.
az policy definition create --name 'denyCoolTiering' --description 'Deny cool access tiering for storage' --rules '{
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "kind",
"equals": "BlobStorage"
},
{
"field": "Microsoft.Storage/storageAccounts/accessTier",
"equals": "cool"
}
]
},
"then": {
"effect": "deny"
}
}'
Просмотр определений политики с помощью Azure CLI
Чтобы просмотреть все определения политик в подписке, используйте приведенную ниже команду.
az policy definition list
Она возвращает все доступные определения политик, включая встроенные политики. Каждая политика возвращается в приведенном ниже формате.
{
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources. Use to enforce your geo-compliance requirements.",
"displayName": "Allowed locations",
"version": "1.0.0"
"id": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
"name": "e56962a6-4747-49cd-b67b-bf8b01975c4c",
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('listOfAllowedLocations')]"
}
},
"then": {
"effect": "Deny"
}
},
"policyType": "BuiltIn"
}
Создание определения инициативы и его назначение
С помощью определения инициативы вы можете сгруппировать несколько определений политики для достижения одной ключевой цели. Инициатива оценивает, насколько ресурсы в области назначения соответствуют требованиям указанных политик. Дополнительные сведения об определениях инициативы см. в статье What is Azure Policy? (Что такое служба "Политика Azure"?).
Создание определения инициативы
Выберите Определения в разделе Разработка в левой части страницы службы Политика Azure.
Выберите + Initiative Definition (+ Определение инициативы) в верхней части страницы, чтобы открыть мастер Initiative definition (Определение инициативы).
Используйте кнопку с многоточием в области Расположение инициативы, чтобы выбрать группу управления или подписку для хранения определения. Если на предыдущей странице настроена одна группа управления или подписка, поле Расположение инициативы заполняется автоматически.
Введите имя и описание инициативы.
В этом примере проверяется, соответствуют ли ресурсы определениям политики безопасности. Введите название инициативы — Защита и описание — Эта инициатива была создана для обработки всех определений политик, связанных с защитой ресурсов.
Для категории выберите из имеющихся параметров или создайте категорию.
Задайте для инициативы параметр Версия, например 1.0.
Примечание.
Значение версии является исключительно метаданными и не используется службой политик Azure для обновлений или обработки.
Нажмите кнопку Далее в нижней части страницы или на вкладке Политики в верхней части мастера.
Выберите Добавить определения политик и просмотрите список. Выберите определения политик, которые нужно добавить в эту инициативу. Чтобы задать для инициативы параметр Get Secure (Защитить), добавьте следующие встроенные определения политик, установив флажок рядом с определением политики:
- Допустимые расположения
- Необходимо установить защиту конечных точек на компьютерах
- Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети
- Необходимо включить Azure Backup для виртуальных машин
- Шифрование дисков должно применяться к виртуальным машинам.
- Добавление или замена тега ресурсов (дважды добавьте это определение политики)
Выбрав каждое определение политики из списка, выберите команду Добавить в нижней части списка. Так как определение добавляется дважды, команда Добавить или заменить тег в ресурсах определения политик получит другой идентификатор записи.
Примечание.
Выбранные определения политик можно добавить в группы, выбрав одно или несколько добавленных определений и щелкнув Добавить выбранные политики в группу. Группа может уже существовать или ее можно создать на вкладке Группы мастера.
Нажмите кнопку Далее в нижней части страницы или на вкладке Группы в верхней части мастера. Новые группы можно добавить на этой вкладке. В этом руководстве мы не добавляем группы.
Нажмите кнопку Далее в нижней части страницы или на вкладке Параметры инициативы в верхней части мастера. Если мы хотели, чтобы параметр существовал по инициативе для передачи в одно или несколько включенных определений политик, параметр определяется здесь, а затем используется на вкладке параметров политики. В этом руководстве мы не добавляем параметры инициативы.
Примечание.
После сохранения в определении инициативы невозможно удалить из инициативы параметры инициативы. Если параметр инициативы больше не нужен, удалите его, используя любые параметры определения политики.
Нажмите кнопку Далее в нижней части страницы или на вкладке Параметры политики в верхней части мастера.
Определения политики, добавленные в инициативу с параметрами, отображаются в сетке. Параметр Тип значения может содержать "Значение по умолчанию", "Заданное значение" или "Использовать параметр инициативы". Если выбрано значение "Заданное значение", то соответствующее значение задается в разделе Значения. Если параметр в определении политики имеет список допустимых значений, то поле ввода представлено раскрывающимся списком. Если выбрано значение "Использовать параметр инициативы", раскрывающийся список позволяет указать имена параметров инициативы, созданных на вкладке Параметры инициативы.
Примечание.
При использовании некоторых параметров
strongType
список значений не может определяться автоматически. В этом случае справа от строки параметра появляется многоточие. Если щелкнуть его, откроется страница Область параметра (<имя параметра>). На этой странице выберите подписку, используемую для предоставления значений. Эта область параметра используется только при создании определения инициативы. Она не влияет на вычисление политики или область инициативы при назначении.Задайте для типа значения "Разрешенные расположения" значение "Заданное значение", а затем в раскрывающемся списке выберите "Восточная часть США 2". Для двух экземпляров определения политик Добавить или заменить тег в ресурсах, задайте параметрам Имя тега значение "env", "CostCenter", а для параметра Значение тега — "Test" и "Lab", как показано ниже. Для остальных параметров оставьте "Значение по умолчанию". Используя одно и то же определение дважды в инициативе, но с разными параметрами, эта конфигурация добавляет или заменяет тег "Env" значением "Test", а тег "CostCenter" — значением "Lab" для ресурсов в области назначения.
Щелкните Review + create (Проверить и создать) в нижней части страницы или в верхней части мастера.
Проверьте параметры и выберите Создать.
Создание определения инициативы политики с использованием Azure CLI
Определение инициативы политики можно создать с помощью команды az policy set-definition
в Azure CLI. Чтобы создать определение инициативы политики на основе существующего определения политики, воспользуйтесь следующим примером.
az policy set-definition create -n readOnlyStorage --definitions '[
{
"policyDefinitionId": "/subscriptions/mySubId/providers/Microsoft.Authorization/policyDefinitions/storagePolicy",
"parameters": { "storageSku": { "value": "[parameters(\"requiredSku\")]" } }
}
]' \
--params '{ "requiredSku": { "type": "String" } }'
Создание определения инициативы политики с использованием Azure PowerShell
Определение инициативы политики можно создать с помощью командлета New-AzPolicySetDefinition
для Azure PowerShell. Чтобы создать определение инициативы политики на основе существующего определения политики, воспользуйтесь следующим файлом определения инициативы политики в качестве VMPolicySet.json
.
[
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/2a0e14a6-b0a6-4fab-991a-187a4f81c498",
"parameters": {
"tagName": {
"value": "Business Unit"
},
"tagValue": {
"value": "Finance"
}
}
},
{
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/464dbb85-3d5f-4a1d-bb09-95a9b5dd19cf"
}
]
New-AzPolicySetDefinition -Name 'VMPolicySetDefinition' -Metadata '{"category":"Virtual Machine"}' -PolicyDefinition C:\VMPolicySet.json
Назначение определения инициативы
Выберите Определения в разделе Разработка в левой части страницы службы Политика Azure.
Найдите ранее созданное определение инициативы Защита и выберите его. Выберите Назначить в верхней части страницы, чтобы открыть страницу Защита: назначить инициативу.
Вы также можете щелкнуть и удерживать (или щелкнуть правой кнопкой мыши) выбранную строку либо щелкнуть многоточие в конце строки для отображения контекстного меню. Затем выберите Назначить.
Заполните страницу Get Secure: Assign Initiative (Защита: назначение инициативы), указав сведения, приведенные в примере ниже. Вы можете использовать собственные сведения.
- Область: группа управления или подписка, которые вы сохранили инициативу, чтобы стать стандартной. Вы можете изменить область, чтобы назначить инициативу подписке или группе ресурсов в сохраненном расположении.
- Исключения. Настройте все ресурсы в области, чтобы назначение инициативы не применялось к ним.
- Определение инициативы и имя назначения. Защита (предварительно указывается в качестве имени назначаемой инициативы).
- Описание. Это назначение инициативы предназначено для принудительного применения группы определений политики.
- Принудительное применение политик. Оставьте значение по умолчанию включено.
- "Кем назначено". Это поле заполняется автоматически, в зависимости от текущего пользователя. Это поле не является обязательным, поэтому можно ввести произвольные значения.
В верхней части страницы мастера выберите вкладку Параметры. Если вы настроили параметр инициативы на предыдущих шагах, задайте значение здесь.
В верхней части страницы мастера выберите вкладку Рекомендации. Оставьте флажок Создать управляемое удостоверение неустановленным. Его необходимо устанавливать, когда назначаемая политика или инициатива содержит политику с эффектом deployIfNotExists или modify. Так как политика, используемая в этом руководстве, ее не содержит, не устанавливайте этот флажок. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure? и разделе Как работают элементы управления доступом к исправлению.
В верхней части страницы мастера выберите вкладку Просмотр и создание.
Проверьте выбранные значения и щелкните Создать в нижней части страницы.
Проверка исходного соответствия
Выберите Соответствия на странице службы Политики Azure слева.
Перейдите к инициативе Защита. Вполне вероятно, что она все еще в состоянии соответствия — Не запущено. Щелкните инициативу, чтобы получить подробные сведения о назначении.
Когда назначение инициативы будет завершено, состояние соответствия на странице отобразится как Соответствует.
Если щелкнуть любую политику на странице соответствия требованиям инициативы, откроется страница сведений о соответствии для этой политики. Здесь содержится информация о соответствии на уровне ресурсов.
Удаление несовместимого или запрещенного ресурса из области с исключением
После назначения инициативы политики, которая требует определенного расположения, отклоняются все ресурсы, созданные в других расположениях. В этом разделе описывается, как решить проблему с отклонением запроса на создание ресурса, создав исключение для одной группы ресурсов. Это исключение не позволяет применять политику (или инициативу) к указанной группе ресурсов. В следующем примере для группы ресурсов, указанной в качестве исключения, допускается любое расположение. Исключение можно применять к подписке, группе ресурсов или отдельным ресурсам.
Примечание.
Чтобы пропустить оценку ресурса, можно также использовать исключение политики. Дополнительные сведения см. в статье Область в Политике Azure.
Развертывания, которые запрещены назначенной политикой или инициативой, можно просмотреть в группе ресурсов, предназначенной для развертывания: выберите развертывания в левой части страницы, а затем выберите имя развертывания неудачного развертывания. Исключенный ресурс отображается с состоянием Запрещено. Чтобы определить политику или инициативу и назначение, отклонившее ресурс, щелкните Сбой. Щелкните здесь, чтобы узнать больше - > на странице общих сведений о развертывании. В правой части страницы откроется окно со сведениями об ошибке. В разделе Сведения об ошибке будут идентификаторы GUID связанных объектов политики.
На странице Политика Azure: выберите соответствие в левой части страницы и выберите инициативу "Получить безопасную политику". На этой странице вы увидите, что значение Отклонено для заблокированных ресурсов увеличилось. На вкладке События содержатся сведения о том, кто пытался создать или развернуть ресурс, отклоненный определением политики.
В этом примере Трент Бейкер, один из старших специалистов по визуализации Contoso, выполнил необходимую работу. Нам нужно предоставить Тренту область для исключения. Создайте группу ресурсов LocationsExcluded, а затем сделайте ее исключением из этого назначения политики.
Обновление назначения с исключением
Выберите Назначения в разделе Разработка в левой части страницы службы Политика Azure.
Просмотрите все назначения политик и откройте назначение политики Защита.
Задайте исключение, щелкнув многоточие и выбрав группу ресурсов для исключения. В нашем примере используется LocationsExcluded. Щелкните Добавить к выбранной области и Сохранить.
Примечание.
В зависимости от определения политики и ее результата вы можете предоставить исключения определенным ресурсам в рамках группы ресурсов, входящей в область назначения. В нашем примере нет смысла задавать исключение для определенного уже существующего ресурса, так как мы использовали эффект Deny (Отклонить).
Щелкните Просмотреть и сохранить и Сохранить.
В этом разделе вы устранили отклоненный запрос путем создания исключения в одной группе ресурсов.
Очистка ресурсов
Если вы завершили работу с ресурсами по этому руководству, следуйте инструкциям ниже, чтобы удалить все созданные назначения или определения политик.
Выберите Определения (или Назначения, если вы пытаетесь удалить назначение) в разделе Разработка в левой части страницы службы Политика Azure.
Найдите новую инициативу либо определение политики (или назначение), которые вы хотите удалить.
Щелкните строку правой кнопкой мыши или выберите многоточие в конце определения (или назначения), а затем выберите Удалить определение (или Удаление назначения).
Отзыв
В этом руководстве вы успешно выполнили следующие действия:
- назначили политику для применения условий для ресурсов, которые будут созданы в будущем;
- создали и назначили определение инициативы для отслеживания соответствия нескольких ресурсов;
- обошли запрет на создание несоответствующих или отклоненных ресурсов;
- внедрили новую политику в организации.
Следующие шаги
Дополнительные сведения о структурах определения политик см. в статье: