Stany zgodności usługi Azure Policy
Jak działa zgodność
Po przypisaniu definicji inicjatywy lub zasad usługa Azure Policy określa, które zasoby mają zastosowanie, a następnie ocenia te zasoby, które nie są wykluczone lub wykluczone. Ocena daje stany zgodności na podstawie warunków w regule zasad i każdego zasobu zgodnego z tymi wymaganiami.
Dostępne stany zgodności
Niezgodne
Przypisania zasad z elementami , lub efekty są uznawane za niezgodne dla nowych, zaktualizowanych lub istniejących zasobów, gdy warunki reguły zasad są obliczane na TRUEwartość .modify auditIfNotExistsaudit
Przypisania zasad z elementami , i efekty są uznawane za niezgodne dla istniejących zasobów, gdy warunki reguły zasad są obliczane na wartość TRUE.deployIfNotExists denyappend Nowe i zaktualizowane zasoby są automatycznie korygowane lub odrzucane w momencie żądania w celu wymuszenia zgodności. Gdy wcześniej istniejący niezgodny zasób zostanie zaktualizowany, stan zgodności pozostanie niezgodny do momentu ukończenia wdrażania zasobów i oceny zasad.
Uwaga
Efekty deployIfNotExists i auditIfNotExists wymagają, aby instrukcja IF mieć wartość TRUE, a warunek istnienia ma wartość FALSE, aby nie był zgodny. W przypadku wartości TRUE warunek IF wyzwala ocenę warunku istnienia dla powiązanych zasobów.
Przypisania zasad z efektami manual są uznawane za niezgodne w dwóch okolicznościach:
- Definicja zasad ma domyślny stan zgodności niezgodnych i nie ma aktywnego zaświadczania dla odpowiedniego zasobu z informacją w przeciwnym razie.
- Zasób został przetestowany jako niezgodny.
Aby określić przyczynę niezgodności zasobu lub znaleźć zmianę odpowiedzialną, zobacz Określanie przyczyn niezgodności. Aby skorygować niezgodne zasoby i deployIfNotExists modify zasady, zobacz Korygowanie niezgodnych zasobów za pomocą usługi Azure Policy.
Zgodne
Przypisania zasad z elementami append, audit, auditIfNotExistsdeny, , deployIfNotExistslub modify efekty są uznawane za zgodne dla nowych, zaktualizowanych lub istniejących zasobów, gdy warunki reguły zasad są obliczane na FALSEwartość .
Przypisania zasad z efektami manual są uznawane za zgodne w dwóch okolicznościach:
- Definicja zasad ma domyślny stan zgodności zgodny i nie ma aktywnego zaświadczania dla odpowiedniego zasobu z informacją w przeciwnym razie.
- Zasób został przetestowany jako zgodny.
Błąd
Stan zgodności błędu jest przypisywany do przypisań zasad, które generują błąd systemu, taki jak błąd szablonu lub oceny.
Sprzeczne
Przypisanie zasad jest uznawane za powodujące konflikt, gdy istnieją co najmniej dwa przypisania zasad w tym samym zakresie z sprzecznymi lub powodującymi konflikt regułami. Na przykład dwie definicje, które dołączają ten sam tag z różnymi wartościami.
Zwolnienie
Odpowiedni zasób ma stan zgodności wykluczony dla przypisania zasad, gdy znajduje się on w zakresie wykluczenia.
Uwaga
Wykluczenie jest inne niż wykluczone. Aby uzyskać więcej informacji, zobacz Omówienie zakresu w usłudze Azure Policy.
Nieznane
Nieznany jest domyślnym stanem zgodności definicji z manual efektem, chyba że ustawienie domyślne zostało jawnie ustawione na zgodne lub niezgodne. Ten stan wskazuje, że uzasadnione jest zaświadczenie o zgodności. Ten stan zgodności występuje tylko w przypadku przypisań zasad z manual efektem.
Chronione
Chroniony stan oznacza, że zasób jest objęty przypisaniem z efektem denyAction .
Niezarejestrowane
Ten stan zgodności jest widoczny w witrynie Azure Portal, gdy dostawca zasobów usługi Azure Policy nie jest zarejestrowany lub gdy zalogowane konto nie ma uprawnień do odczytywania danych zgodności.
Uwaga
Jeśli stan zgodności jest zgłaszany jako Niezarejestrowany, sprawdź, Microsoft.PolicyInsights czy dostawca zasobów jest zarejestrowany i czy użytkownik ma odpowiednie uprawnienia kontroli dostępu na podstawie ról (RBAC) platformy Azure zgodnie z opisem w temacie Uprawnienia RBAC platformy Azure w usłudze Azure Policy.
Aby zarejestrować usługę Microsoft.PolicyInsights, wykonaj kroki opisane w artykule Dostawcy zasobów i typy zasobów platformy Azure.
Nie rozpoczęto
Ten stan zgodności wskazuje, że cykl oceny nie został uruchomiony dla zasad lub zasobu.
Przykład
Teraz, gdy już wiesz, jakie stany zgodności istnieją i co oznacza każdy z nich, przyjrzyjmy się przykładowi przy użyciu zgodnych i niezgodnych stanów.
Załóżmy, że masz grupę zasobów — ContosoRG z niektórymi kontami magazynu (wyróżnionymi na czerwono), które są widoczne w sieciach publicznych.
Diagram przedstawiający obrazy dla pięciu kont magazynu w grupie zasobów Contoso R G. Konta magazynu jeden i trzy są niebieskie, a konta magazynu dwa, cztery i pięć są czerwone.
W tym przykładzie należy uważać na zagrożenia bezpieczeństwa. Załóżmy, że przypisujesz definicję zasad, która przeprowadza inspekcję kont magazynu uwidocznionych w sieciach publicznych i że dla tego przypisania nie są tworzone żadne wykluczenia. Zasady sprawdzają odpowiednie zasoby (w tym wszystkie konta magazynu w grupie zasobów ContosoRG), a następnie ocenia te zasoby, które nie są wykluczone z oceny. Przeprowadza inspekcję trzech kont magazynu uwidocznionych w sieciach publicznych, zmieniając ich stany zgodności na Niezgodne. Pozostałe części są oznaczone jako zgodne.
Diagram przedstawiający obrazy dla pięciu kont magazynu w grupie zasobów Contoso R G. Konta magazynu jeden i trzy mają teraz zielone znaczniki wyboru pod nimi, podczas gdy konta magazynu dwa, cztery i pięć mają teraz czerwone znaki ostrzegawcze pod nimi.
Zestawienie zgodności
Stan zgodności jest określany na zasób, przypisanie poszczególnych zasad. Jednak często potrzebujemy dużego obrazu stanu środowiska, w którym wchodzi w grę zagregowane zgodność.
Istnieje kilka sposobów wyświetlania zagregowanych wyników zgodności w portalu:
| Widok agregacji zgodności | Czynniki określające stan zgodności |
|---|---|
| Scope | Wszystkie zasady w wybranym zakresie |
| Inicjatywa | Wszystkie zasady w ramach inicjatywy |
| Grupa inicjatywy lub kontrola | Wszystkie zasady w grupie lub kontrolce |
| Zasady | Wszystkie odpowiednie zasoby |
| Zasób | Wszystkie odpowiednie zasady |
Porównywanie różnych stanów zgodności
W jaki sposób jest określany stan zgodności zagregowanej, jeśli wiele zasobów lub zasad ma różne stany zgodności? Usługa Azure Policy klasyfikuje każdy stan zgodności, dzięki czemu jedna z nich wygrywa w tej sytuacji. Kolejność rangi to:
- Niezgodne
- Zgodne
- Błąd
- Sprzeczne
- Chronione (wersja zapoznawcza)
- Zwolnione
- Nieznany (wersja zapoznawcza)
Uwaga
Nie uruchomiono i niezarejestrowane nie są brane pod uwagę w obliczeniach zestawień zgodności.
W przypadku tej kolejności klasyfikacji, jeśli istnieją zarówno niezgodne, jak i zgodne stany, agregacja zbiorcza będzie niezgodna i tak dalej. Przyjrzyjmy się przykładowi:
Załóżmy, że inicjatywa zawiera 10 zasad, a zasób jest wykluczony z jednej zasady, ale jest zgodny z pozostałymi dziewięcioma. Ponieważ stan zgodny ma wyższą rangę niż stan wykluczony, zasób zarejestruje się jako zgodny w podsumowaniu zbiorczym inicjatywy. Dlatego zasób jest wyświetlany jako wykluczony tylko dla całej inicjatywy, jeśli jest wykluczony z lub ma nieznaną zgodność z każdą inną odpowiednią polityką w tej inicjatywie. W drugiej skrajności zasób, który jest niezgodny z co najmniej jedną odpowiednią zasadą w inicjatywie, ma ogólny stan zgodności niezgodny, niezależnie od pozostałych odpowiednich zasad.
Procent zgodności
Procent zgodności jest określany przez podzielenie zgodnych, wykluczonych i nieznanych zasobów przez łączną liczbę zasobów. Łączna liczba zasobów obejmuje zasoby ze stanami Zgodne, Niezgodne, Nieznane, Wykluczone, Powodujące konflikty i Błędy.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Na pokazanym obrazie istnieje 20 odrębnych zasobów, które mają zastosowanie, a tylko jeden jest niezgodny. Ogólna zgodność zasobów wynosi 95% (19 na 20).
Następne kroki
- Dowiedz się, jak uzyskać dane zgodności
- Dowiedz się, jak określić przyczyny niezgodności
- Pobieranie danych zgodności za pomocą przykładowych zapytań usługi Azure Resource Graph dla usługi Azure Policy