Entender o escopo no Azure Policy
Há muitas configurações que determinam quais recursos podem vir a ser avaliados e quais recursos são avaliados pelo Azure Policy. O conceito principal para esses controles é escopo. O escopo no Azure Policy é baseado em como ele funciona no Azure Resource Manager. Para obter uma visão geral de alto nível, consulte Escopo no Azure Resource Manager.
Este artigo explica a importância do escopo no Azure Policy e seus objetos e propriedades relacionados.
Local da definição
O primeiro escopo de instância é usado pelo Azure Policy quando uma definição de política é criada. A definição pode ser salva em um grupo de gerenciamento ou em uma assinatura. Esse local determina o escopo para o qual pode ser atribuída a iniciativa ou política. Os recursos devem constar da hierarquia de recursos do local da definição de forma a direcionar para a atribuição. A seção recursos cobertos pelo Azure Policy descreve como as políticas são avaliadas.
Se o local da definição for:
- Assinatura – A assinatura em que a política é definida e os recursos dentro dessa assinatura podem ser atribuídos à definição de política.
- Grupo de gerenciamento – O grupo de gerenciamento em que a política é definida e os recursos dentro de grupos de gerenciamento filho e assinaturas filho podem ser atribuídos à definição de política. Se você planeja aplicar esta definição de política a diversas assinaturas, o local deve ser um grupo de gerenciamento que contém as assinaturas.
O local deve ser o contêiner de recursos compartilhado por todos os recursos para os quais você deseja usar a definição de política. Esse contêiner de recursos é normalmente um grupo de gerenciamento próximo ao grupo de gerenciamento raiz.
Escopos de atribuição
Uma atribuição tem várias propriedades que definem um escopo. O uso dessas propriedades determina qual recurso o Azure Policy deve avaliar e quais recursos considerar para conformidade. Essas propriedades são mapeadas para os seguintes conceitos:
Inclusão - uma hierarquia de recursos ou um recurso individual devem ser avaliados quanto à conformidade pela definição. A propriedade
properties.scopeem um objeto de atribuição determina o que incluir e avaliar para fins de conformidade. Para obter mais informações, consulte Definição de atribuição.Inclusão - uma hierarquia de recursos ou um recurso individual não devem ser avaliados quanto à conformidade pela definição. A propriedade
properties.notScopesarray em um objeto de atribuição determina o que deve ser excluído. Os recursos dentro desses escopos não são avaliados nem incluídos na contagem de conformidade. Para mais informações, consulte Definição de atribuição - escopos excluídos.
Além das propriedades na atribuição de política, a política de isenção também é objeto. As isenções aprimoram a história do escopo fornecendo um método para identificar uma parte de uma atribuição que não será avaliada.
Isenção – uma hierarquia de recursos ou um recurso individual devem ser avaliados quanto à conformidade pela definição, mas não serão avaliados por um motivo como ter uma renúncia ou ser atenuado por outro método. Os recursos nesse estado aparecem como Isentos em relatórios de conformidade para que possam ser rastreados. O objeto de isenção é criado na hierarquia de recursos ou recurso individual como um objeto filho, determinando assim o escopo da isenção. Tanto uma hierarquia de recursos quanto um recurso individual podem ser isentos de várias atribuições. A isenção pode ser configurada para expirar em um agendamento usando a propriedade
expiresOn. Para mais informações, consulte Definição de isenção.Observação
Devido ao impacto da concessão de uma isenção para uma hierarquia de recursos ou recurso individual, as isenções têm medidas de segurança adicionais. Além de ter exigida a operação
Microsoft.Authorization/policyExemptions/writena hierarquia de recursos ou recurso individual, o criador de uma isenção deve ter o verboexempt/Actionna atribuição de destino.
Comparação de escopo
A tabela a seguir apresenta uma comparação entre as opções de escopo:
| Inclusão | Exclusão (notScopes) | Isenção | |
|---|---|---|---|
| Os recursos são avaliados | ✔ | - | - |
| Objeto do Resource Manager | - | - | ✔ |
| Requer a modificação do objeto de atribuição de política | ✔ | ✔ | - |
Então, como você escolhe se deseja usar uma exclusão ou isenção? Normalmente, as exclusões são recomendadas para ignorar permanentemente a avaliação de um escopo amplo, como um ambiente de teste que não requer o mesmo nível de governança. As isenções são recomendadas para cenários com limite de tempo ou cenários mais específicos em que um recurso ou hierarquia de recursos ainda deve ser rastreado e, de outra forma, seria avaliado, mas há um motivo específico para ele não ser avaliado quanto à conformidade.
Próximas etapas
- Saiba mais sobre a estrutura da definição de política.
- Entenda como criar políticas de forma programática.
- Saiba como obter dados de conformidade.
- Saiba como corrigir recursos fora de conformidade.
- Veja o que é um grupo de gerenciamento com Organizar seus recursos com grupos de gerenciamento do Azure.