Azure Policy 준수 상태
준수 작동 방식
이니셔티브 또는 정책 정의가 할당되면 Azure Policy는 어떤 리소스가 적용 가능한지 결정한 다음 제외 또는 예외되지 않은 리소스를 평가합니다. 평가를 통해 정책 규칙의 조건과 각 리소스의 해당 요구 사항 준수 여부에 따라 준수 상태가 산출됩니다.
사용 가능한 준수 상태
비준수
정책 규칙의 조건이 TRUE로 평가되는 경우 audit, auditIfNotExists 또는 modify 효과가 있는 정책 할당은 신규 리소스, 업데이트된 리소스 또는 기존 리소스에 대해 비준수로 간주됩니다.
append, deny 및 deployIfNotExists 효과가 있는 정책 할당은 정책 규칙의 조건이 TRUE로 평가될 때 기존 리소스에 대해 비준수로 간주됩니다. 신규 리소스 및 업데이트된 리소스는 준수를 위해 요청 시 자동으로 수정되거나 거부됩니다. 기존의 비준수 리소스가 업데이트되면 리소스 배포 및 정책 평가가 완료될 때까지 준수 상태가 비준수 상태로 유지됩니다.
참고 항목
DeployIfNotExist 및 AuditIfNotExist 효과를 적용하려면 IF 문을 TRUE로 설정하고 존재 조건이 비규격 상태가 되도록 FALSE로 설정해야 합니다. TRUE인 경우 IF 조건이 관련 리소스에 대한 존재 조건의 평가를 트리거합니다.
manual 효과가 있는 정책 할당은 다음 두 가지 상황에서 비준수로 간주됩니다.
- 정책 정의에는 비준수라는 기본 준수 상태가 있으며 달리 명시되는 해당 리소스에 대한 활성 증명이 없습니다.
- 리소스가 비준수로 증명되었습니다.
리소스가 규정 비준수로 확인되거나 변경의 원인을 확인하려면 비준수 확인을 참조하세요. deployIfNotExists 및 modify 정책에 대한 비준수 리소스를 수정하려면 Azure Policy를 사용하여 비준수 리소스 수정을 참조하세요.
준수
정책 규칙의 조건이 FALSE로 평가되는 경우 append, audit, auditIfNotExists, deny, deployIfNotExists 또는 modify 효과가 있는 정책 할당은 신규 리소스, 업데이트된 리소스 또는 기존 리소스에 대해 비준수로 간주됩니다.
manual 효과가 있는 정책 할당은 다음 두 가지 상황에서 준수로 간주됩니다.
- 정책 정의에는 준수라는 기본 준수 상태가 있으며 달리 명시되는 해당 리소스에 대한 활성 증명이 없습니다.
- 리소스가 규정을 준수로 인증되었습니다.
오류
오류 준수 상태는 템플릿 또는 평가 오류와 같은 시스템 오류를 생성하는 정책 할당에 제공됩니다.
충돌
동일한 범위에 모순되거나 충돌하는 규칙이 있는 두 개 이상의 정책 할당이 있는 경우 정책 할당은 충돌하는 것으로 간주됩니다. 예를 들어, 동일한 태그에 다른 값을 추가하는 두 개의 정의가 있습니다.
제외 등급
적용 가능한 리소스는 예외 범위에 있는 경우 정책 할당에 대해 준수 상태가 예외됩니다.
참고 항목
예외는 제외와 다릅니다. 자세한 내용은 범위를 참조하세요.
Unknown
기본값이 명시적으로 준수 또는 비준수로 설정되지 않은 경우 알 수 없음은 manual 효과가 있는 정의의 기본 준수 상태입니다. 이 상태는 준수에 대한 증명을 보장한다고 나타냅니다. 이 준수 상태는 manual 효과가 있는 정책 할당에 대해서만 발생합니다.
Protected
보호된 상태는 리소스가 denyAction 효과가 있는 할당에 포함되어 있음을 나타냅니다.
등록되지 않음
이 준수 상태는 Azure Policy 리소스 공급자가 등록되지 않았거나 로그인한 계정에 준수 데이터를 읽을 수 있는 권한이 없는 경우 포털에 표시됩니다.
참고 항목
규정 준수 상태가 등록되지 않음으로 보고된 경우 Azure Policy의 Azure RBAC(Azure 역할 기반 액세스) 권한에 설명된 대로 Microsoft.PolicyInsights 리소스 공급자가 등록되어 있고 사용자에게 적절한 Azure RBAC 권한이 있는지 확인합니다. Microsoft.PolicyInsights를 등록하려면 다음 단계를 따릅니다.
시작되지 않음
이 준수 상태는 정책 또는 리소스에 대한 평가 주기가 시작되지 않았음을 나타냅니다.
예시
이제 어떤 준수 상태가 존재하고 각 상태가 무엇을 의미하는지 이해했으므로 준수 상태와 비준수 상태를 사용하는 예를 살펴보겠습니다.
공용 네트워크에 노출되는 일부 스토리지 계정(빨간색으로 강조 표시됨)이 있는 리소스 그룹인 ContosoRG가 있다고 가정합니다.
Contoso R G 리소스 그룹의 5개 스토리지 계정에 대한 이미지를 보여 주는 다이어그램. 스토리지 계정 1과 3은 파란색이고 스토리지 계정은 2, 4, 5는 빨간색입니다.
이 예에서는 보안 위험에 주의해야 합니다. 공용 네트워크에 노출된 스토리지 계정을 감사하는 정책 정의를 할당하고 이 할당에 대해 예외가 만들어지지 않는다고 가정합니다. 정책은 적용 가능한 리소스(ContosoRG 리소스 그룹의 모든 스토리지 계정 포함)를 확인한 다음 평가에서 제외되지 않은 리소스를 평가합니다. 공용 네트워크에 노출된 3개의 스토리지 계정을 감사하여 준수 상태를 비준수로 변경합니다. 나머지는 준수로 표시되어 있습니다.
Contoso R G 리소스 그룹의 5개 스토리지 계정에 대한 이미지를 보여 주는 다이어그램. 이제 스토리지 계정 1과 3에는 아래 녹색 체크 표시가 있으며, 스토리지 계정 2, 4, 5 아래에는 빨간 경고 기호가 있습니다.
규정 준수 롤업
준수 상태는 리소스별, 정책 할당별로 결정됩니다. 그러나 우리는 종합적인 준수가 중요한 환경 상태에 대한 큰 그림이 필요한 경우가 많습니다.
포털에서 집계된 준수 결과를 보는 방법에는 여러 가지가 있습니다.
| 전체 준수 보기 | 준수 상태를 결정하는 요소 |
|---|---|
| 범위 | 선택한 범위 내의 모든 정책 |
| Initiative | 이니셔티브 내의 모든 정책 |
| 이니셔티브 그룹 또는 컨트롤 | 그룹 또는 컨트롤 내의 모든 정책 |
| 정책 | 적용 가능한 모든 리소스 |
| 리소스 | 적용 가능한 모든 정책 |
다양한 준수 상태 비교
그렇다면 여러 리소스 또는 정책 자체에 서로 다른 규정 준수 상태가 있는 경우 총 규정 준수 상태는 어떻게 결정되나요? Azure Policy는 이 상황에서 하나가 다른 규정보다 "승리"하도록 각 준수 상태의 순위를 지정합니다. 순위 순서는 다음과 같습니다.
- 비준수
- 준수
- 오류
- 충돌
- 보호됨(미리 보기)
- 제외됨
- 알 수 없음(미리 보기)
이 순위 지정을 사용하면 비준수 상태와 준수 상태가 모두 있는 경우 롤업된 집계는 비준수 상태가 됩니다. 예를 살펴보겠습니다.
이니셔티브에 10개의 정책이 포함되어 있고 리소스가 하나의 정책에서 제외되지만 나머지 9개 정책을 준수한다고 가정합니다. 준수 상태는 예외 상태보다 순위가 높기 때문에 리소스는 롤업된 이니셔티브 요약에서 준수로 등록됩니다. 따라서 리소스는 해당 이니셔티브의 다른 모든 적용 가능한 정책에서 예외되거나 알 수 없는 준수가 있는 경우에만 전체 이니셔티브에 대해 예외된 것으로 표시됩니다. 반면에, 이니셔티브에서 하나 이상의 적용 가능한 정책을 준수하지 않는 리소스는 나머지 적용 가능한 정책에 관계없이 전체 준수 상태가 비준수입니다.
준수 비율
규정 준수 비율은 준수, 예외 및 알 수 없음 리소스를 총 리소스로 나누어 결정합니다. 총 리소스에는 준수, 비준수, 알 수 없음, 예외, 충돌 및 오류 상태인 리소스가 포함됩니다.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
표시된 이미지에는 적용 가능한 고유 리소스가 20개 있으며 그중 하나만 비준수입니다. 전체 리소스 규정 준수 비율은 95%(20개 중 19)입니다.
다음 단계
- 규정 준수 데이터를 가져오는 방법을 알아봅니다.
- 규정 위반의 원인을 확인하는 방법에 대해 알아봅니다.
- ARG 쿼리 샘플을 통해 준수 데이터 가져오기