Omówienie zakresu w usłudze Azure Policy
Istnieje wiele ustawień, które określają, które zasoby mogą być oceniane i które zasoby ocenia usługa Azure Policy. Podstawową koncepcją tych kontrolek jest zakres. Zakres w usłudze Azure Policy jest oparty na sposobie działania zakresu w usłudze Azure Resource Manager. Aby zapoznać się z ogólnym omówieniem, zobacz Zakres w usłudze Azure Resource Manager.
W tym artykule wyjaśniono znaczenie zakresu w usłudze Azure Policy oraz powiązane obiekty i właściwości.
Lokalizacja definicji
Pierwszym zakresem wystąpienia używanym przez usługę Azure Policy jest utworzenie definicji zasad. Definicja może zostać zapisana w grupie zarządzania lub subskrypcji. Lokalizacja określa zakres, do którego można przypisać inicjatywę lub zasady. Zasoby muszą znajdować się w hierarchii zasobów lokalizacji definicji, która ma być docelowa dla przypisania. Zasoby objęte usługą Azure Policy opisują sposób oceniania zasad.
Jeśli lokalizacja definicji to:
- Subskrypcja: subskrypcja, w której zdefiniowano zasady, i zasoby w ramach tej subskrypcji można przypisać definicję zasad.
- Grupa zarządzania: grupa zarządzania, w której zdefiniowano zasady, a zasoby w podrzędnych grupach zarządzania i subskrypcjach podrzędnych można przypisać definicję zasad. Jeśli planujesz zastosować definicję zasad do kilku subskrypcji, lokalizacja musi być grupą zarządzania zawierającą każdą subskrypcję.
Lokalizacja powinna być kontenerem zasobów współużytkowany przez wszystkie zasoby, dla których chcesz użyć definicji zasad. Ten kontener zasobów jest zazwyczaj grupą zarządzania w pobliżu głównej grupy zarządzania.
Zakresy przypisania
Przypisanie ma kilka właściwości, które ustawiają zakres. Użycie tych właściwości określa, który zasób usługi Azure Policy ma oceniać i które zasoby są liczone w kierunku zgodności. Te właściwości są mapowe na następujące pojęcia:
- Dołączanie: definicja ocenia zgodność hierarchii zasobów lub pojedynczego zasobu. Zakres obiektu przypisania określa, co należy uwzględnić i ocenić pod kątem zgodności. Aby uzyskać więcej informacji, zobacz Struktura przypisywania usługi Azure Policy.
- Wykluczenie: definicja nie powinna oceniać zgodności dla hierarchii zasobów ani pojedynczego zasobu. Właściwość
properties.notScopestablicy w obiekcie przypisania określa, co należy wykluczyć. Zasoby w tych zakresach nie są oceniane ani uwzględniane w liczbie zgodności. Aby uzyskać więcej informacji, zobacz Azure Policy assignment structure excluded scopes (Wykluczone zakresy przypisania usługi Azure Policy).
Oprócz właściwości przypisania zasad jest obiektem struktury wykluczania usługi Azure Policy. Wykluczenia rozszerzają historię zakresu, udostępniając metodę identyfikowania części przypisania, która nie ma być oceniana.
Wykluczenie: definicja ocenia zgodność hierarchii zasobów lub pojedynczego zasobu, ale nie ocenia z powodu takiego jak zwolnienie lub ograniczenie ryzyka za pomocą innej metody. Zasoby w tym stanie są wyświetlane jako Wykluczone w raportach zgodności, aby można je było śledzić. Obiekt wykluczenia jest tworzony w hierarchii zasobów lub pojedynczy zasób jako obiekt podrzędny, który określa zakres wykluczenia. Hierarchia zasobów lub pojedynczy zasób mogą być wykluczone z wielu przypisań. Wykluczenie można skonfigurować tak, aby wygasało zgodnie z harmonogramem przy użyciu expiresOn właściwości . Aby uzyskać więcej informacji, zobacz Struktura wykluczania usługi Azure Policy.
Uwaga
Ze względu na wpływ przyznania wykluczenia dla hierarchii zasobów lub pojedynczego zasobu wykluczenia mają dodatkowe środki zabezpieczeń. Oprócz wymagania Microsoft.Authorization/policyExemptions/write operacji w hierarchii zasobów lub pojedynczego zasobu twórca wykluczenia musi mieć exempt/Action czasownik w przypisaniu docelowym.
Porównanie zakresu
Poniższa tabela zawiera porównanie opcji zakresu:
| Zasoby | Inkluzywność | Wykluczenie (notScopes) | Zwolnienie |
|---|---|---|---|
| Zasoby są oceniane | ✔ | - | - |
| Obiekt usługi Resource Manager | - | - | ✔ |
| Wymaga modyfikowania obiektu przypisania zasad | ✔ | ✔ | - |
Jak więc wybrać, czy używać wykluczenia, czy wykluczenia? Zazwyczaj zaleca się trwałe pomijanie oceny dla szerokiego zakresu, takiego jak środowisko testowe, które nie wymaga tego samego poziomu ładu. Wyjątki są zalecane w przypadku scenariuszy związanych z czasem lub bardziej szczegółowymi scenariuszami, w których hierarchia zasobów lub zasobów powinna być nadal śledzona i w przeciwnym razie będzie oceniana, ale nie powinno być oceniane pod kątem zgodności.
Następne kroki
- Dowiedz się więcej o strukturze definicji zasad.
- Dowiedz się, jak programowo tworzyć zasady.
- Dowiedz się, jak uzyskać dane zgodności.
- Dowiedz się, jak korygować niezgodne zasoby.
- Dowiedz się więcej o sposobie organizowania zasobów przy użyciu grup zarządzania platformy Azure.