다음을 통해 공유


Azure Policy 준수 상태

준수 작동 방식

이니셔티브 또는 정책 정의가 할당되면 Azure Policy는 어떤 리소스가 적용 가능한지 확인한 다음 제외 또는 예외되지 않은 리소스를 평가합니다. 평가를 통해 정책 규칙의 조건과 각 리소스의 해당 요구 사항 준수 여부에 따라 준수 상태가 산출됩니다.

사용 가능한 준수 상태

비준수

정책 규칙의 조건이 TRUE로 평가되는 경우 audit, auditIfNotExists 또는 modify 효과가 있는 정책 할당은 신규 리소스, 업데이트된 리소스 또는 기존 리소스에 대해 비준수로 간주됩니다.

append, denydeployIfNotExists 효과가 있는 정책 할당은 정책 규칙의 조건이 TRUE로 평가될 때 기존 리소스에 대해 비준수로 간주됩니다. 신규 리소스 및 업데이트된 리소스는 준수를 위해 요청 시 자동으로 수정되거나 거부됩니다. 기존의 비준수 리소스가 업데이트되면 리소스 배포 및 정책 평가가 완료될 때까지 준수 상태가 비준수 상태로 유지됩니다.

참고 항목

deployIfNotExistsauditIfNotExists 효과는 비준수가 되려면 IF 문이 TRUE이고 존재 조건이 FALSE여야 합니다. TRUE인 경우 IF 조건이 관련 리소스에 대한 존재 조건의 평가를 트리거합니다.

manual 효과가 있는 정책 할당은 다음 두 가지 상황에서 비준수로 간주됩니다.

  1. 정책 정의에는 비준수라는 기본 준수 상태가 있으며 달리 명시되는 해당 리소스에 대한 활성 증명이 없습니다.
  2. 해당 리소스는 규정을 준수하지 않는 것으로 확인되었습니다.

리소스가 규정을 준수하지 않는 이유를 확인하거나 해당 변경 내용을 찾으려면 규정을 준수하지 않는 원인 확인을 참조하세요. deployIfNotExistsmodify 정책에 대한 비준수 리소스를 수정하려면 Azure Policy를 사용하여 비준수 리소스 수정을 참조하세요.

준수

정책 규칙의 조건이 FALSE로 평가되는 경우 append, audit, auditIfNotExists, deny, deployIfNotExists 또는 modify 효과가 있는 정책 할당은 신규 리소스, 업데이트된 리소스 또는 기존 리소스에 대해 비준수로 간주됩니다.

manual 효과가 있는 정책 할당은 다음 두 가지 상황에서 준수로 간주됩니다.

  1. 정책 정의에는 준수라는 기본 준수 상태가 있으며 달리 명시되는 해당 리소스에 대한 활성 증명이 없습니다.
  2. 해당 리소스는 규정을 준수하는 것으로 입증되었습니다.

Error

오류 준수 상태는 템플릿 또는 평가 오류와 같은 시스템 오류를 생성하는 정책 할당에 제공됩니다.

충돌

동일한 범위에 모순되거나 충돌하는 규칙이 있는 두 개 이상의 정책 할당이 있는 경우 정책 할당은 충돌하는 것으로 간주됩니다. 예를 들어, 동일한 태그에 다른 값을 추가하는 두 개의 정의가 있습니다.

제외 등급

적용 가능한 리소스는 예외 범위에 있는 경우 정책 할당에 대해 준수 상태가 예외됩니다.

참고 항목

예외제외와 다릅니다. 자세한 내용은 Azure Policy의 범위 이해를 참조하세요.

Unknown

기본값이 명시적으로 준수 또는 비준수로 설정되지 않은 경우 알 수 없음은 manual 효과가 있는 정의의 기본 준수 상태입니다. 이 상태는 준수에 대한 증명을 보장한다고 나타냅니다. 이 준수 상태는 manual 효과가 있는 정책 할당에 대해서만 발생합니다.

Protected

보호된 상태는 리소스가 denyAction 효과가 있는 할당에 포함되어 있음을 나타냅니다.

등록되지 않음

이러한 준수 상태는 Azure Policy 리소스 공급자가 등록되지 않았거나 로그인한 계정에 준수 데이터를 읽을 수 있는 권한이 없는 경우 Azure Portal에 표시됩니다.

참고 항목

규정 준수 상태가 등록되지 않음으로 보고되는 경우 Microsoft.PolicyInsights 리소스 공급자가 등록되었고 사용자에게 Azure Policy의 Azure RBAC 권한에 설명된 대로 적절한 Azure RBAC(Azure 역할 기반 액세스 제어) 권한이 있는지 확인합니다. Microsoft.PolicyInsights를 등록하려면 Azure 리소스 공급자 및 형식의 단계를 따릅니다.

시작되지 않음

이 준수 상태는 정책 또는 리소스에 대한 평가 주기가 시작되지 않았음을 나타냅니다.

예시

이제 어떤 준수 상태가 존재하고 각 상태가 무엇을 의미하는지 이해했으므로 준수 상태와 비준수 상태를 사용하는 예를 살펴보겠습니다.

공용 네트워크에 노출되는 일부 스토리지 계정(빨간색으로 강조 표시됨)이 있는 리소스 그룹인 ContosoRG가 있다고 가정합니다.

Contoso R G 리소스 그룹의 공용 네트워크에 노출된 스토리지 계정의 다이어그램.

Contoso R G 리소스 그룹의 5개 스토리지 계정에 대한 이미지를 보여 주는 다이어그램. 스토리지 계정 1과 3은 파란색이고 스토리지 계정은 2, 4, 5는 빨간색입니다.

이 예에서는 보안 위험에 주의해야 합니다. 공용 네트워크에 노출된 스토리지 계정을 감사하는 정책 정의를 할당하고 이 할당에 대해 예외가 만들어지지 않는다고 가정합니다. 정책은 적용 가능한 리소스(ContosoRG 리소스 그룹의 모든 스토리지 계정 포함)를 확인한 다음 평가에서 제외되지 않은 리소스를 평가합니다. 공용 네트워크에 노출된 3개의 스토리지 계정을 감사하여 준수 상태를 비준수로 변경합니다. 나머지는 준수로 표시됩니다.

Contoso R G 리소스 그룹의 스토리지 계정 준수 다이어그램.

Contoso R G 리소스 그룹의 5개 스토리지 계정에 대한 이미지를 보여 주는 다이어그램. 이제 스토리지 계정 1과 3에는 아래 녹색 체크 표시가 있으며, 스토리지 계정 2, 4, 5 아래에는 빨간 경고 기호가 있습니다.

규정 준수 롤업

준수 상태는 리소스별, 정책 할당별로 결정됩니다. 그러나 우리는 종합적인 준수가 중요한 환경 상태에 대한 큰 그림이 필요한 경우가 많습니다.

포털에서 집계된 준수 결과를 보는 방법에는 여러 가지가 있습니다.

전체 준수 보기 준수 상태를 결정하는 요소
범위 선택한 범위 내의 모든 정책
Initiative 이니셔티브 내의 모든 정책
이니셔티브 그룹 또는 컨트롤 그룹 또는 컨트롤 내의 모든 정책
정책 적용 가능한 모든 리소스
리소스 적용 가능한 모든 정책

다양한 준수 상태 비교

그렇다면 여러 리소스 또는 정책 자체에 서로 다른 규정 준수 상태가 있는 경우 총 규정 준수 상태는 어떻게 결정되나요? Azure Policy는 이 상황에서 하나가 다른 규정보다 승리하도록 각 준수 상태의 순위를 지정합니다. 순위 순서는 다음과 같습니다.

  1. 비준수
  2. 준수
  3. 오류
  4. 충돌
  5. 보호됨(미리 보기)
  6. 제외됨
  7. 알 수 없음(미리 보기)

참고 항목

시작되지 않음등록되지 않음은 준수 롤업 계산에서 고려되지 않습니다.

이러한 순위에 따르면, 비준수 상태와 준수 상태가 모두 있는 경우 롤업된 집계는 비준수 상태가 됩니다. 예를 살펴보겠습니다.

이니셔티브에 10개의 정책이 포함되어 있고 리소스가 하나의 정책에서 제외되지만 나머지 9개 정책을 준수한다고 가정합니다. 준수 상태는 예외 상태보다 순위가 높기 때문에 리소스는 롤업된 이니셔티브 요약에서 준수로 등록됩니다. 따라서 리소스는 해당 이니셔티브의 다른 모든 적용 가능한 정책에서 예외되거나 알 수 없는 준수가 있는 경우에만 전체 이니셔티브에 대해 예외된 것으로 표시됩니다. 반면에, 이니셔티브에서 하나 이상의 적용 가능한 정책을 준수하지 않는 리소스는 나머지 적용 가능한 정책에 관계없이 전체 준수 상태가 비준수입니다.

준수 비율

규정 준수 비율은 준수, 예외알 수 없음 리소스를 총 리소스로 나누어 결정합니다. 총 리소스에는 준수, 비준수, 알 수 없음, 예외, 충돌오류 상태인 리소스가 포함됩니다.

overall compliance % = (compliant + exempt + unknown + protected)  / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)

표시된 이미지에는 적용 가능한 고유 리소스가 20개 있으며 그중 하나만 비준수입니다. 전체 리소스 규정 준수 비율은 95%(20개 중 19)입니다.

정책 준수 페이지의 정책 준수 세부 정보 스크린샷.

다음 단계