Compartilhar via


Entender o escopo no Azure Policy

Há muitas configurações que determinam quais recursos podem ser avaliados e quais recursos o Azure Policy avalia. O conceito principal para esses controles é escopo. O escopo no Azure Policy é baseado em como ele funciona no Azure Resource Manager. Para obter uma visão geral de alto nível, consulte Escopo no Azure Resource Manager.

Esse artigo explica a importância do escopo no Azure Policy e os objetos e propriedades relacionados.

Local da definição

O primeiro escopo de instância é usado pelo Azure Policy quando uma definição de política é criada. A definição pode ser salva em um grupo de gerenciamento ou em uma assinatura. Esse local determina o escopo para o qual pode ser atribuída a iniciativa ou política. Os recursos devem constar da hierarquia de recursos do local da definição de forma a direcionar para a atribuição. A seção recursos cobertos pelo Azure Policy descreve como as políticas são avaliadas.

Se o local da definição for:

  • Assinatura: a assinatura em que a política é definida e os recursos dentro dessa assinatura podem ter a definição de política atribuída.
  • Grupo de gerenciamento: o grupo de gerenciamento onde a política é definida e os recursos dentro de grupos de gerenciamento filho e assinaturas filho podem receber a definição de política. Se você planeja aplicar esta definição de política a diversas assinaturas, o local deve ser um grupo de gerenciamento que contém as assinaturas.

O local deve ser o contêiner de recursos compartilhado por todos os recursos para os quais você deseja usar a definição de política. Esse contêiner de recursos é normalmente um grupo de gerenciamento próximo ao grupo de gerenciamento raiz.

Escopos de atribuição

Uma atribuição tem várias propriedades que definem um escopo. O uso dessas propriedades determina qual recurso o Azure Policy deve avaliar e quais recursos considerar para conformidade. Essas propriedades são mapeadas para os seguintes conceitos:

  • Inclusão: uma definição avalia a conformidade de uma hierarquia de recursos ou de um recurso individual. O escopo do objeto de atribuição determina o que incluir e avaliar para conformidade. Para obter mais informações, veja Estrutura de atribuição de Azure Policy.
  • Exclusão: Uma definição não deve avaliar a conformidade de uma hierarquia de recursos ou de um recurso individual. A propriedade properties.notScopes de matriz em um objeto de atribuição determina o que excluir. Os recursos dentro desses escopos não são avaliados nem incluídos na contagem de conformidade. Para obter mais informações, veja Escopos excluídos da estrutura de atribuição da Azure Policy.

Além das propriedades na atribuição de política, está o objeto Estrutura de isenção da Azure Policy. As isenções aprimoram a história do escopo fornecendo um método para identificar uma parte de uma atribuição que não será avaliada.

Isenção: uma definição avalia a conformidade de uma hierarquia de recursos ou de um recurso individual, mas não avalia por um motivo como uma isenção ou mitigação por meio de outro método. Os recursos nesse estado aparecem como Isentos em relatórios de conformidade para que possam ser rastreados. O objeto de isenção é criado na hierarquia de recursos ou recurso individual como um objeto filho, determinando assim o escopo da isenção. Tanto uma hierarquia de recursos quanto um recurso individual podem ser isentos de várias atribuições. A isenção pode ser configurada para expirar em um cronograma usando a propriedade expiresOn. Para obter mais informações, veja Estrutura de isenção da Azure Policy.

Observação

Devido ao impacto da concessão de uma isenção para uma hierarquia de recursos ou recurso individual, as isenções têm medidas de segurança adicionais. Além de ter exigida a operação Microsoft.Authorization/policyExemptions/writena hierarquia de recursos ou recurso individual, o criador de uma isenção deve ter o verbo exempt/Action na atribuição de destino.

Comparação de escopo

A tabela a seguir apresenta uma comparação entre as opções de escopo:

Recursos Inclusão Exclusão (notScopes) Isenção
Os recursos são avaliados - -
Objeto do Resource Manager - -
Requer a modificação do objeto de atribuição de política -

Então, como você escolhe se deseja usar uma exclusão ou isenção? Normalmente, as exclusões são recomendadas para ignorar permanentemente a avaliação de um escopo amplo, como um ambiente de teste que não requer o mesmo nível de governança. As isenções são recomendadas para cenários com limite de tempo ou cenários mais específicos em que um recurso ou hierarquia de recursos ainda deve ser rastreado e, de outra forma, seria avaliado, mas há um motivo específico para ele não ser avaliado quanto à conformidade.

Próximas etapas