Inzicht in het bereik in Azure Policy
Er zijn veel instellingen die bepalen welke resources kunnen worden geëvalueerd en welke resources worden geëvalueerd door Azure Policy. Het primaire concept voor deze besturingselementen is bereik. Bereik in Azure Policy is gebaseerd op de werking van het bereik in Azure Resource Manager. Zie Bereik in Azure Resource Manager voor een overzicht op hoog niveau.
In dit artikel wordt het belang van het bereik in Azure Policy uitgelegd en worden gerelateerde objecten en eigenschappen beschreven.
Definitielocatie
Het eerste exemplaarbereik dat door Azure Policy wordt gebruikt, is wanneer er een beleidsdefinitie wordt gemaakt. De definitie kan worden opgeslagen in een beheergroep of een abonnement. De locatie bepaalt het bereik waaraan het initiatief of beleid kan worden toegewezen. Resources moeten zich binnen de resourcehiërarchie van de definitielocatie bevinden om te worden toegewezen. De resources die worden gedekt door Azure Policy , beschrijven hoe beleidsregels worden geëvalueerd.
Als de definitielocatie een:
- Abonnement : het abonnement waarin beleid is gedefinieerd en resources binnen dat abonnement kunnen worden toegewezen aan de beleidsdefinitie.
- Beheergroep: de beheergroep waarin het beleid is gedefinieerd en resources binnen onderliggende beheergroepen en onderliggende abonnementen kunnen worden toegewezen aan de beleidsdefinitie. Als u van plan bent de beleidsdefinitie toe te passen op verschillende abonnementen, moet de locatie een beheergroep zijn die elk abonnement bevat.
De locatie moet de resourcecontainer zijn die wordt gedeeld door alle resources waarop u de beleidsdefinitie wilt gebruiken. Deze resourcecontainer is doorgaans een beheergroep in de buurt van de hoofdbeheergroep.
Toewijzingsbereiken
Een toewijzing heeft verschillende eigenschappen die een bereik instellen. Het gebruik van deze eigenschappen bepaalt welke resource voor Azure Policy moet worden geëvalueerd en welke resources tellen voor naleving. Deze eigenschappen zijn toegewezen aan de volgende concepten:
Insluiting: een resourcehiërarchie of afzonderlijke resource moet worden geëvalueerd op naleving door de definitie. De
properties.scopeeigenschap van een toewijzingsobject bepaalt wat er moet worden opgenomen en geëvalueerd voor naleving. Zie Toewijzingsdefinitie voor meer informatie.Uitsluiting: een resourcehiërarchie of afzonderlijke resource mag niet worden geëvalueerd op naleving door de definitie. De
properties.notScopesmatrixeigenschap voor een toewijzingsobject bepaalt wat u wilt uitsluiten. Resources binnen deze bereiken worden niet geëvalueerd of opgenomen in het nalevingsaantal. Zie Toewijzingsdefinitie - uitgesloten bereiken voor meer informatie.
Naast de eigenschappen van de beleidstoewijzing, is het object voor beleidsvrijstelling . Uitzonderingen verbeteren het bereikverhaal door een methode te bieden om een deel van een toewijzing te identificeren dat niet moet worden geëvalueerd.
Uitzondering: een resourcehiërarchie of afzonderlijke resource moet worden geëvalueerd op naleving door de definitie, maar wordt niet geëvalueerd om een reden, zoals een afstandsverklaring of een beperking via een andere methode. Resources in deze status worden weergegeven als Uitgesloten in nalevingsrapporten, zodat ze kunnen worden bijgehouden. Het uitzonderingsobject wordt gemaakt in de resourcehiërarchie of afzonderlijke resource als een onderliggend object, dat het bereik van de uitzondering bepaalt. Een resourcehiërarchie of afzonderlijke resource kan worden uitgesloten van meerdere toewijzingen. De uitzondering kan worden geconfigureerd om te verlopen volgens een schema met behulp van de
expiresOneigenschap. Zie Uitzonderingsdefinitie voor meer informatie.Notitie
Vanwege de gevolgen van het verlenen van een uitzondering voor een resourcehiërarchie of afzonderlijke resource, hebben uitzonderingen aanvullende beveiligingsmaatregelen. Naast het vereisen van de
Microsoft.Authorization/policyExemptions/writebewerking voor de resourcehiërarchie of afzonderlijke resource, moet de maker van een uitzondering hetexempt/Actionwerkwoord hebben voor de doeltoewijzing.
Bereikvergelijking
De volgende tabel is een vergelijking van de bereikopties:
| Inclusiviteit | Uitsluiting (notScopes) | Vrijstelling | |
|---|---|---|---|
| Resources worden geëvalueerd | ✔ | - | - |
| Resource Manager-object | - | - | ✔ |
| Vereist het wijzigen van het beleidstoewijzingsobject | ✔ | ✔ | - |
Hoe kiest u of u een uitsluiting of uitzondering wilt gebruiken? Uitsluitingen worden meestal aanbevolen om evaluatie permanent te omzeilen voor een breed bereik, zoals een testomgeving waarvoor niet hetzelfde governanceniveau is vereist. Uitzonderingen worden aanbevolen voor tijdgebonden of meer specifieke scenario's waarbij een resource- of resourcehiërarchie nog steeds moet worden bijgehouden en anders geëvalueerd, maar er is een specifieke reden waarom deze niet moet worden beoordeeld op naleving.
Volgende stappen
- Meer informatie over de structuur van de beleidsdefinitie.
- Meer informatie over het programmatisch maken van beleid.
- Meer informatie over het ophalen van nalevingsgegevens.
- Ontdek hoe u niet-compatibele resources kunt herstellen.
- Bekijk wat een beheergroep is met Uw resources organiseren met Azure-beheergroepen.