Azure Policy의 범위 이해
평가할 수 있는 리소스와 Azure Policy에 의해 평가되는 리소스를 결정하는 여러 설정이 있습니다. 이러한 컨트롤에 대한 기본 개념은 범위입니다. Azure Policy의 범위는 Azure Resource Manager에서 범위가 작동하는 방식을 기반으로 합니다. 고급 개요는 Azure Resource Manager의 범위를 참조하세요.
이 문서에서는 Azure Policy의 범위의 중요성과 관련 개체 및 속성을 설명합니다.
정의 위치
Azure Policy에서 사용하는 첫 번째 인스턴스 범위는 정책 정의를 만들 때입니다. 정의는 관리 그룹 또는 구독 중 하나에 저장될 수 있습니다. 해당 위치는 이니셔티브 또는 정책을 할당할 수 있는 범위를 결정합니다. 리소스는 할당 대상으로 지정할 정의 위치의 계층 구조 내에 있어야 합니다. Azure Policy가 적용되는 리소스에서는 정책이 평가되는 방법을 설명합니다.
정의 위치는 다음과 같습니다.
- 구독: 정책이 정의되어 있고 해당 구독 내의 리소스에 정책 정의가 할당될 수 있는 구독입니다.
- 관리 그룹: 정책이 정의되고 자식 관리 그룹 및 자식 구독 내의 리소스에 정책 정의가 할당될 수 있는 관리 그룹입니다. 정책 정의를 여러 구독에 적용하려는 경우 위치는 각 구독이 포함된 관리 그룹이어야 합니다.
위치는 정책 정의를 사용하려는 모든 리소스에서 공유하는 리소스 컨테이너여야 합니다. 해당 리소스 컨테이너는 일반적으로 루트 관리 그룹 근처의 관리 그룹입니다.
할당 범위
할당에는 범위를 설정하는 몇 가지 속성이 있습니다. 이러한 속성을 사용하여 평가할 Azure Policy 리소스와 규정 준수에 중요한 리소스가 무엇인지 결정합니다. 이러한 속성은 다음 개념에 매핑됩니다.
- 포함: 정의는 리소스 계층 또는 개별 리소스에 대한 규정 준수를 평가합니다. 할당 개체의 범위에 따라 규정 준수를 위해 포함하고 평가할 항목이 결정됩니다. 자세한 내용은 Azure Policy 할당 구조를 참조하세요.
- 제외: 정의는 리소스 계층 또는 개별 리소스에 대한 규정 준수를 평가해서는 안 됩니다. 할당 개체의
properties.notScopes배열 속성은 제외할 항목을 결정합니다. 이러한 범위 내의 리소스는 평가되거나 규정 준수 개수에 포함되지 않습니다. 자세한 내용은 Azure Policy 할당 구조에서 제외된 범위를 참조하세요.
정책 할당의 속성 외에도 Azure Policy 예외 구조 개체가 있습니다. 예외는 평가하지 않을 할당의 일부를 식별하는 방법을 제공하여 범위 스토리를 개선합니다.
예외: 정의는 리소스 계층 또는 개별 리소스에 대한 규정 준수를 평가하지만 다른 방법을 통한 면제 또는 완화와 같은 이유로 평가되지 않습니다. 이 상태의 리소스는 추적할 수 있도록 규정 준수 보고서에 제외된 것으로 표시됩니다. 예외 개체는 리소스 계층 구조 또는 개별 리소스에 대해 자식 개체로 만들어지며 예외 범위를 결정합니다. 리소스 계층 또는 개별 리소스는 여러 할당에서 제외될 수 있습니다. 예외는 expiresOn 속성을 사용하여 일정에 따라 만료되도록 구성할 수 있습니다. 자세한 내용은 Azure Policy 예외 구조를 참조 하세요.
참고 항목
리소스 계층 또는 개별 리소스에 대한 예외 부여에 따른 영향으로 인해 예외에는 추가 보안 조치가 있습니다. 리소스 계층 또는 개별 리소스에 대한 Microsoft.Authorization/policyExemptions/write 작업을 요구하는 것 이외에도 예외 작성자에게는 대상 할당에 대한 exempt/Action 동사가 있어야 합니다.
범위 비교
다음 표는 범위 옵션에 대한 비교를 보여 줍니다.
| 리소스 | 포함 | 제외(notScopes) | 예외 |
|---|---|---|---|
| 리소스가 평가됨 | ✔ | - | - |
| Resource Manager 개체 | - | - | ✔ |
| 정책 할당 개체를 수정해야 함 | ✔ | ✔ | - |
그러면 제외 또는 예외를 사용할지 여부를 어떻게 선택하나요? 일반적으로 동일한 수준의 거버넌스가 필요하지 않은 테스트 환경과 같은 광범위한 범위에 대한 평가를 영구적으로 무시하기 위해 제외를 권장합니다. 시간 제한이 있거나 보다 구체적인 시나리오에는 예외가 권장됩니다(해당 시나리오에 리소스 또는 리소스 계층 구조를 계속 추적하고 평가해야 하지만 준수 여부를 평가해서는 안 되는 구체적인 이유가 있는 경우).
다음 단계
- 정책 정의 구조에 대해 알아봅니다.
- 프로그래밍 방식으로 정책을 만드는 방법을 이해합니다.
- 규정 준수 데이터를 가져오는 방법을 알아봅니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.
- Azure 관리 그룹을 사용하여 리소스를 구성하는 방법에 대해 자세히 알아봅니다.