Azure Policy에서 적용 가능성이란 무엇인가요?
정책 정의가 범위에 할당되면 Azure Policy는 규정 준수 평가를 위해 고려해야 하는 해당 범위의 리소스를 결정합니다. 리소스는 지정된 정책 할당에 적용 가능한 것으로 간주되는 경우에만 규정 준수 여부가 평가됩니다.
적용 가능성은 다음과 같은 몇 가지 요인에 의해 결정됩니다.
- 정책 규칙의
if블록에 있는 조건 - 정책 정의의 모드
- 할당에 지정된 제외된 범위
- 할당에 지정된 리소스 선택기.
- 리소스 또는 리소스 계층 구조의 예외
정책 규칙의 if 블록에 있는 조건은 효과에 따라 약간 다른 방식으로 적용 가능성이 평가됩니다.
참고 항목
적용 가능성은 규정 준수와 다르며 각각을 확인하는 데 사용되는 논리는 다릅니다. 리소스가 적용 가능한 경우 정책과 관련이 있음을 의미합니다. 리소스가 규정을 준수하는 경우 정책을 준수하는 것입니다. 정책 규칙의 특정 조건만 적용 가능성에 영향을 주지만, 정책 규칙의 모든 조건이 규정 준수 상태에 영향을 주는 경우도 있습니다.
Resource Manager 모드
-IfNotExists 정책 효과
AuditIfNotExists 및 DeployIfNotExists 정책의 적용 가능성은 정책 규칙의 전체 if 조건을 기준으로 합니다. if가 false로 평가되면 정책을 적용할 수 없습니다.
다른 모든 정책 효과
Azure Policy는 정책 규칙 if 식의 type, name 및 kind 조건만 평가하고 다른 조건을 true(또는 부정할 경우 false)로 처리합니다. 최종 평가 결과가 true이면 정책이 적용됩니다. 그렇지 않으면 적용할 수 없습니다.
다음은 이전에 설명한 적용 가능성 논리에 대한 특별한 경우입니다.
| 시나리오 | 결과 |
|---|---|
if 조건의 잘못된 별칭 |
정책을 적용할 수 없습니다. |
if 조건이 kind 조건으로만 구성된 경우 |
정책이 모든 리소스에 적용될 수 있습니다. |
if 조건이 name 조건으로만 구성된 경우 |
정책이 모든 리소스에 적용될 수 있습니다. |
if 조건이 type 및 kind 조건으로만 구성된 경우 |
적용 가능성을 결정할 때 type 조건만 고려됩니다 |
if 조건이 type 및 name 조건으로만 구성된 경우 |
적용 가능성을 결정할 때 type 조건만 고려됩니다 |
if 조건이 type, kind, 기타 조건으로 구성된 경우 |
적용 가능성을 결정할 때 type 및 kind 조건이 모두 고려됩니다 |
if 조건이 type, name, 기타 조건으로 구성된 경우 |
적용 가능성을 결정할 때 type 및 name 조건이 모두 고려됩니다 |
모든 조건(배포 매개 변수 포함)에 location 조건이 포함된 경우 |
구독에 적용되지 않습니다. |
리소스 공급자 모드
Microsoft.Kubernetes.Data
Microsoft.Kubernetes.Data 정책의 적용 가능성은 정책 규칙의 전체 if 조건을 기준으로 합니다. if가 false로 평가되면 정책을 적용할 수 없습니다.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data, Microsoft.MachineLearningServices.v2.Data
해당 RP 모드를 사용하는 정책은 정책 규칙의 type 조건이 true로 평가되는 경우 적용 가능합니다. type은 다음과 같은 구성 요소 유형을 참조합니다.
Key Vault 구성 요소 유형:
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
관리 HSM 구성 요소 유형:
- Microsoft.ManagedHSM.Data/managedHsms/keys
Azure Data Factory 구성 요소 유형:
- Microsoft.DataFactory.Data/factories/outboundTraffic
Azure Machine Learning 구성 요소 유형:
- Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
모드가 Microsoft.Network.Data인 정책은 정책 규칙의 type 및 name 조건이 true로 평가되는 경우 적용 가능합니다. type은 다음과 같은 구성 요소 유형을 참조합니다.
- Microsoft.Network/virtualNetworks
해당되지 않는 리소스
조건 또는 범위에 따라 리소스를 할당에 적용할 수 있는 상황이 발생할 수 있지만 비즈니스상의 이유로는 적용할 수 없습니다. 이 경우 제외 또는 예외를 적용하는 것이 가장 이상적인 방법입니다. 둘 중 하나를 사용할 시점에 대해 자세히 알아보려면 범위 비교를 검토하세요
참고 항목
기본적으로 Azure Policy는 구독 및 리소스 그룹을 제외하고 정책 평가에서 Microsoft.Resources RP(리소스 공급자) 아래의 리소스를 평가하지 않습니다.
다음 단계
- 리소스를 해당되지 않음으로 표시하는 방법을 자세히 알아봅니다.
- 적용 가능성 제한을 자세히 알아봅니다
- Azure 리소스의 규정 준수 데이터를 가져오는 방법을 알아봅니다.
- 리소스 종류 정책에 대한 정책 준수의 업데이트를 검토합니다.