Wat is toepasselijkheid in Azure Policy?
Wanneer een beleidsdefinitie wordt toegewezen aan een bereik, bepaalt Azure Policy welke resources in dat bereik moeten worden overwogen voor nalevingsevaluatie. Een resource wordt alleen beoordeeld op naleving als deze wordt beschouwd als van toepassing op de opgegeven beleidstoewijzing.
De toepasbaarheid wordt bepaald door verschillende factoren:
- Voorwaarden in het
ifblok van de beleidsregel. - Modus van de beleidsdefinitie.
- Uitgesloten bereiken die zijn opgegeven in de toewijzing.
- Resourceselectors die zijn opgegeven in de toewijzing.
- Uitzonderingen van resources of resourcehiërarchieën.
Voorwaarden in het blok van de if beleidsregel worden op iets verschillende manieren geëvalueerd op toepasbaarheid op basis van het effect.
Notitie
De toepasbaarheid verschilt van de naleving en de logica die wordt gebruikt om te bepalen welke regels verschillend zijn. Als een resource van toepassing is, betekent dit dat deze relevant is voor het beleid. Als een resource compatibel is, betekent dit dat deze voldoet aan het beleid. Soms hebben alleen bepaalde voorwaarden van de beleidsregel invloed op de toepasselijkheid, terwijl alle voorwaarden van de beleidsregel van invloed zijn op de nalevingsstatus.
Resource Manager-modi
-IfNotExists-beleidseffecten
De toepasselijkheid van AuditIfNotExists en DeployIfNotExists het beleid is gebaseerd op de volledige if voorwaarde van de beleidsregel. Wanneer het if resultaat onwaar is, is het beleid niet van toepassing.
Alle andere beleidseffecten
Azure Policy evalueert alleen type, nameen kind voorwaarden in de expressie van de beleidsregel if en behandelt andere voorwaarden als waar (of onwaar wanneer ze worden ontkend). Als het uiteindelijke evaluatieresultaat waar is, is het beleid van toepassing. Anders is dit niet van toepassing.
Hieronder volgen speciale gevallen voor de eerder beschreven toepasbaarheidslogica:
| Scenario | Result |
|---|---|
Ongeldige aliassen in de if voorwaarden |
Het beleid is niet van toepassing |
Wanneer de if voorwaarden bestaan uit alleen kind voorwaarden |
Het beleid is van toepassing op alle resources |
Wanneer de if voorwaarden bestaan uit alleen name voorwaarden |
Het beleid is van toepassing op alle resources |
Wanneer de if voorwaarden alleen type bestaan en kind voorwaarden |
Alleen type voorwaarden worden overwogen bij het bepalen van de toepasbaarheid |
Wanneer de if voorwaarden alleen type bestaan en name voorwaarden |
Alleen type voorwaarden worden overwogen bij het bepalen van de toepasbaarheid |
Wanneer de if voorwaarden bestaan uit type, kinden andere voorwaarden |
kind Zowel als type voorwaarden worden overwogen bij het bepalen van de toepasbaarheid |
Wanneer de if voorwaarden bestaan uit type, nameen andere voorwaarden |
name Zowel als type voorwaarden worden overwogen bij het bepalen van de toepasbaarheid |
Wanneer eventuele voorwaarden (inclusief implementatieparameters) een location voorwaarde bevatten |
Is niet van toepassing op abonnementen |
Resourceprovidermodi
Microsoft.Kubernetes.Data
De toepasselijkheid van Microsoft.Kubernetes.Data beleidsregels is gebaseerd op de volledige if voorwaarde van de beleidsregel. Wanneer het if resultaat onwaar is, is het beleid niet van toepassing.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data en Microsoft.MachineLearningServices.v2.Data
Beleidsregels met deze RP-modi zijn van toepassing als de type voorwaarde van de beleidsregel waar is. Het type verwijst naar het onderdeeltype.
Key Vault-onderdeeltypen:
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
Type beheerde HSM-onderdeel:
- Microsoft.ManagedHSM.Data/managedHsms/keys
Azure Data Factory-onderdeeltype:
- Microsoft.DataFactory.Data/factory's/outboundTraffic
Azure Machine Learning-onderdeeltype:
- Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Beleidsregels met modus Microsoft.Network.Data zijn van toepassing als de type voorwaarden name van de beleidsregel waar zijn. Het type onderdeeltype verwijst naar:
- Microsoft.Network/virtualNetworks
Niet-toepasselijke resources
Er kunnen situaties zijn waarin resources van toepassing zijn op een toewijzing op basis van voorwaarden of bereik, maar ze moeten niet van toepassing zijn vanwege zakelijke redenen. Op dat moment is het raadzaam uitsluitingen of uitzonderingen toe te passen. Raadpleeg de bereikvergelijking voor meer informatie over wanneer u een van beide gebruikt
Notitie
Standaard evalueert Azure Policy geen resources onder de Microsoft.Resources resourceprovider (RP) van beleidsevaluatie, met uitzondering van abonnementen en resourcegroepen.