Partilhar via


O que é aplicabilidade na Política do Azure?

Quando uma definição de política é atribuída a um escopo, a Política do Azure determina quais recursos nesse escopo devem ser considerados para avaliação de conformidade. Um recurso só é avaliado quanto à conformidade se for considerado aplicável à atribuição de política em questão.

Vários fatores determinam a aplicabilidade:

  • Condições no if bloco da regra de política.
  • Modo de definição da política.
  • Escopos excluídos especificados na atribuição.
  • Seletores de recursos especificados na atribuição.
  • Isenções de recursos ou hierarquias de recursos.

As condições no bloco da regra de política são avaliadas quanto à aplicabilidade de maneiras ligeiramente diferentes com base no if efeito.

Nota

A aplicabilidade é diferente da conformidade, e a lógica usada para determinar cada uma é diferente. Se um recurso for aplicável , isso significa que é relevante para a política. Se um recurso estiver em conformidade, isso significa que ele adere à política. Às vezes, apenas determinadas condições da regra de política afetam a aplicabilidade, enquanto todas as condições da regra de política afetam o estado de conformidade.

Modos do Resource Manager

Efeitos da política ifNotExists

A aplicabilidade das AuditIfNotExists políticas e DeployIfNotExists baseia-se em toda if a condição da regra política. Quando a if avaliação é falsa, a política não é aplicável.

Todos os outros efeitos políticos

A Política do Azure avalia apenas type, namee kind condições na expressão da regra if de política e trata outras condições como verdadeiras (ou falsas quando negadas). Se o resultado final da avaliação for verdadeiro, a política é aplicável. Caso contrário, não é aplicável.

Seguem-se casos especiais para a lógica de aplicabilidade anteriormente descrita:

Cenário Result
Quaisquer aliases inválidos nas if condições A política não é aplicável
Quando as if condições consistem apenas kind em condições A política é aplicável a todos os recursos
Quando as if condições consistem apenas name em condições A política é aplicável a todos os recursos
Quando as if condições consistem em apenas type e kind condições Apenas type as condições são consideradas ao decidir a aplicabilidade
Quando as if condições consistem em apenas type e name condições Apenas type as condições são consideradas ao decidir a aplicabilidade
Quando as if condições consistirem em type, kinde outras condições Ambas as type condições são kind consideradas ao decidir a aplicabilidade
Quando as if condições consistirem em type, namee outras condições Ambas as type condições são name consideradas ao decidir a aplicabilidade
Quando quaisquer condições (incluindo parâmetros de implantação) incluem uma location condição Não se aplica a subscrições

Modos de provedor de recursos

Microsoft.Kubernetes.Data

A aplicabilidade das Microsoft.Kubernetes.Data políticas baseia-se em toda if a condição da regra política. Quando a if avaliação é falsa, a política não é aplicável.

Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data e Microsoft.MachineLearningServices.v2.Data

As políticas com esses modos de provedor de recursos serão aplicáveis se a type condição da regra de política for avaliada como true. O type refere-se ao tipo de componente.

Tipos de componentes do Key Vault:

  • Microsoft.KeyVault.Data/vaults/certificates
  • Microsoft.KeyVault.Data/vaults/keys
  • Microsoft.KeyVault.Data/vaults/secrets

Tipo de componente HSM (Managed Hardware Security Module):

  • Microsoft.ManagedHSM.Data/managedHsms/keys

Tipo de componente do Azure Data Factory:

  • Microsoft.DataFactory.Data/factories/outboundTraffic

Tipo de componente do Azure Machine Learning:

  • Microsoft.MachineLearningServices.v2.Data/workspaces/deployments

Microsoft.Network.Data

As políticas com modo Microsoft.Network.Data são aplicáveis se as condições e name da type regra de política forem avaliadas como verdadeiras. O type refere-se ao tipo de componente:

  • Microsoft.Network/virtualNetworks

Recursos não aplicáveis

Pode haver situações em que os recursos são aplicáveis a uma atribuição com base em condições ou escopo, mas eles não devem ser aplicáveis devido a razões comerciais. Nessa altura, seria melhor aplicar exclusões ou isenções. Para saber mais sobre quando usar qualquer um deles, revise a comparação de escopo

Nota

Por design, a Política do Azure não avalia recursos sob o provedor de recursos a Microsoft.Resources partir da avaliação de políticas, exceto para assinaturas e grupos de recursos.

Próximos passos