Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Elke beleidsdefinitie in Azure Policy heeft één effect
in de bijbehorende policyRule
. Dit effect
bepaalt wat er gebeurt wanneer de beleidsregel wordt geëvalueerd om overeen te komen. De effecten gedragen zich anders als ze voor een nieuwe resource, een bijgewerkte resource of een bestaande resource zijn.
Hier volgen de ondersteunde azure Policy-definitie-effecten:
- toevoegenAanNetwerkgroep
- toevoegen
- audit
- auditIfNotExists
- ontkennen
- denyAction
- deployIfNotExists
- uitgeschakeld
- Handmatig
- modificeren
- muteren
Wisselwerkingseffecten
Soms kunnen meerdere effecten geldig zijn voor een bepaalde beleidsdefinitie. Parameters worden vaak gebruikt om toegestane effectwaarden (allowedValues
) op te geven, zodat één definitie veelzijdiger kan zijn tijdens de toewijzing. Het is echter belangrijk om te weten dat niet alle effecten uitwisselbaar zijn. Resource-eigenschappen en -logica in de beleidsregel kunnen bepalen of een bepaald effect als geldig wordt beschouwd voor de beleidsdefinitie. Beleidsdefinities met effect auditIfNotExists
vereisen bijvoorbeeld andere details in de beleidsregel die niet vereist zijn voor beleid met effect audit
. De effecten gedragen zich ook anders.
audit
beleid evalueert de naleving van een resource op basis van zijn eigen eigenschappen, terwijl auditIfNotExists
beleidsregels de naleving van een resource beoordelen op basis van de eigenschappen van een onderliggende of extensieresource.
De volgende lijst bevat enkele algemene richtlijnen voor verwisselbare effecten:
-
audit
,deny
en ofmodify
append
zijn vaak uitwisselbaar. -
auditIfNotExists
endeployIfNotExists
zijn vaak uitwisselbaar. -
manual
is niet uitwisselbaar. -
disabled
is uitwisselbaar met elk effect.
Volgorde van evaluatie
De eerste evaluatie van Azure Policy is voor aanvragen om een resource te maken of bij te werken. Door Azure Policy wordt een lijst opgesteld met alle toewijzingen die van toepassing zijn op de resource en vervolgens wordt de resource op basis van elke definitie geëvalueerd. Voor een Resource Manager-modus verwerkt Azure Policy verschillende effecten voordat de aanvraag aan de juiste resourceprovider wordt verzonden. Deze volgorde voorkomt onnodige verwerking door een resourceprovider wanneer een resource niet voldoet aan de ontworpen besturingselementen voor governance van Azure Policy. Met een resourceprovidermodus beheert de resourceprovider de evaluatie en het resultaat en rapporteert de resultaten terug naar Azure Policy.
-
disabled
wordt eerst gecontroleerd om te bepalen of de beleidsregel moet worden geëvalueerd. -
append
enmodify
worden vervolgens geëvalueerd. Omdat een van beide de aanvraag kan wijzigen, kan een wijziging verhinderen dat een controle- of weigeringseffect wordt geactiveerd. Deze effecten zijn alleen beschikbaar in een Resource Manager-modus. -
deny
wordt vervolgens geëvalueerd. Door Weigeren te evalueren voordat de controle wordt uitgevoerd, wordt dubbele logboekregistratie van een ongewenste resource voorkomen. -
audit
wordt geëvalueerd. -
manual
wordt geëvalueerd. -
auditIfNotExists
wordt geëvalueerd. -
denyAction
wordt het laatst geëvalueerd.
Nadat de resourceprovider een succescode heeft geretourneerd voor een aanvraag in de Resource Manager-modus, evalueren auditIfNotExists
en deployIfNotExists
of meer nalevingslogboeken of acties vereist zijn.
PATCH
aanvragen die alleen gerelateerde velden wijzigen tags
, beperken beleidsevaluatie tot beleidsregels met voorwaarden die gerelateerde velden inspecteren tags
.
Gelaagdheid van beleidsdefinities
Verschillende toewijzingen kunnen van invloed zijn op een resource. Deze opdrachten kunnen zich binnen hetzelfde bereik of binnen verschillende bereiken bevinden. Elk van deze toewijzingen zal waarschijnlijk ook een ander effect hebben dat is gedefinieerd. De voorwaarde en het effect voor elk beleid worden onafhankelijk geëvalueerd. Voorbeeld:
- Beleid 1
- Hiermee wordt de locatie van de resource beperkt tot
westus
- Toegewezen aan abonnement A
- Effect ontkennen
- Hiermee wordt de locatie van de resource beperkt tot
- Beleid 2
- Hiermee wordt de locatie van de resource beperkt tot
eastus
- Toegewezen aan resourcegroep B in abonnement A
- Controle-effect
- Hiermee wordt de locatie van de resource beperkt tot
Deze installatie zou resulteren in het volgende resultaat:
- Elke resource die zich al in resourcegroep B bevindt
eastus
, voldoet aan beleid 2, maar is niet-compliant met beleid 1. - Alle resources die zich al in resourcegroep B bevinden, voldoen niet aan beleid 2 en voldoen niet aan beleid 1 als ze niet in
westus
staan. - Beleid 1 weigert elke nieuwe resource in abonnement A die niet in
westus
is - Elke nieuwe resource in abonnement A en resourcegroep B in
westus
wordt gemaakt en voldoet niet aan beleid 2.
Als zowel beleid 1 als beleid 2 het effect van weigering hadden, wordt de situatie als volgt:
- Elke resource die zich al in resourcegroep B bevindt maar niet in
eastus
, voldoet niet aan beleid 2. - Elke resource die zich al in resourcegroep B bevindt maar niet in
westus
, voldoet niet aan het beleid met nummer 1. - Beleid 1 weigert elke nieuwe resource in abonnement A die niet in
westus
is. - Elke nieuwe resource in resourcegroep B van abonnement A wordt geweigerd
Elke opdracht wordt afzonderlijk geëvalueerd. Aangezien er geen kans is dat een bron door een hiaat glipt wegens verschillen in reikwijdte. Het nettoresultaat van gelaagde beleidsdefinities wordt beschouwd als cumulatief meest beperkend. Als beleid 1 en 2 bijvoorbeeld een deny
effect hadden, wordt een resource geblokkeerd door de overlappende en conflicterende beleidsdefinities. Als u de resource nog steeds in het doelbereik wilt maken, controleert u de uitsluitingen voor elke toewijzing om te controleren of de juiste beleidstoewijzingen van invloed zijn op de juiste bereiken.
Volgende stappen
- Bekijk voorbeelden in Azure Policy-voorbeelden.
- Lees over de structuur van Azure Policy-definities.
- Meer informatie over het programmatisch maken van beleid.
- Meer informatie over het ophalen van nalevingsgegevens.
- Ontdek hoe u niet-conforme bronnen kunt aanpakken.
- Controleer Azure-beheergroepen.