состояния соответствия Политика Azure
Как работает соответствие
При назначении определений инициативы или политики Политика Azure определяет, какие ресурсы применимы, а затем оценивает те ресурсы, которые не исключены или исключены. Оценка дает состояния соответствия на основе условий в правиле политики, а все ресурсы соответствуют этим требованиям.
Доступные состояния соответствия
Не соответствует
Назначения политик с , или эффекты считаются несоответствуемыми для новых, обновленных или существующих ресурсов, когда условия правила политики оцениваютсяTRUE.modify auditIfNotExistsaudit
Назначения политик с , а эффекты считаются несоответствующим существующим ресурсам, если условия правила политики оцениваютсяTRUE.deployIfNotExists denyappend Новые и обновленные ресурсы автоматически исправляются или отклоняются во время запроса для обеспечения соответствия требованиям. Когда ранее существующий несоответствующий ресурс обновляется, состояние соответствия остается несоответствующим до завершения оценки развертывания ресурсов и политики.
Примечание.
Для deployIfNotExists и auditIfNotExists эффектов требуется, чтобы оператор IF был TRUE, и условие существования должно быть FALSE, чтобы быть несовместимым. Когда установлено значение TRUE, условие IF запускает оценку условия существования для связанных ресурсов.
Назначения политик с manual эффектами считаются несоответствующим в двух обстоятельствах:
- Определение политики имеет состояние соответствия по умолчанию несоответствующего требованиям, и не существует активной аттестации для применимого ресурса, указывающего в противном случае.
- Ресурс был подтвержден как несоответствующий.
Чтобы определить причину, по которой ресурс не соответствует требованиям или найти изменение, см. статью "Определение причин несоответствия". Сведения об исправлении несоответствующих ресурсов и deployIfNotExists modify политик см. в статье "Исправление несоответствующих ресурсов с помощью Политика Azure".
Соответствует
Назначения политик с , , , auditIfNotExistsdenydeployIfNotExistsили modify эффекты считаются совместимыми для новых, обновленных или существующих ресурсов, когда условия правила политики оцениваютсяFALSE. auditappend
Назначения политик с manual эффектами считаются соответствующими двумя обстоятельствами:
- Определение политики имеет состояние соответствия по умолчанию и не существует активной аттестации для применимого ресурса, указывающего в противном случае.
- Ресурс был подтвержден как соответствующий.
Ошибка
Состояние соответствия ошибкам присваивается назначениям политик, которые создают системную ошибку, например ошибку шаблона или оценки.
Конфликтует
Назначение политики считается конфликтующим при наличии двух или более назначений политик в одной области с противоречивыми или конфликтующими правилами. Например, два определения, добавляющие один и тот же тег с разными значениями.
Освобождается
Применимый ресурс имеет состояние соответствия для назначения политики, если оно находится в области исключения.
Примечание.
Исключение отличается от исключения. Дополнительные сведения см. в статье Общие сведения об области в Политике Azure.
Неизвестно
Неизвестно состояние соответствия по умолчанию для определений с manual эффектом, если значение по умолчанию не было явно задано для соответствия или несоответствия. Это состояние указывает на то, что аттестация соответствия гарантируется. Это состояние соответствия возникает только для назначений политик с эффектом manual .
Защищено
Защищенное состояние означает, что ресурс охватывается назначением с эффектом denyAction .
Не зарегистрирован
Это состояние соответствия отображается в портал Azure, если поставщик ресурсов Политика Azure не зарегистрирован или если у учетной записи входа нет разрешения на чтение данных соответствия.
Примечание.
Если состояние соответствия сообщается как "Не зарегистрировано", убедитесь, что Microsoft.PolicyInsights поставщик ресурсов зарегистрирован и что у пользователя есть соответствующие разрешения на управление доступом на основе ролей Azure (Azure RBAC), как описано в разрешениях Azure RBAC в Политика Azure.
Чтобы зарегистрировать Microsoft.PolicyInsights, выполните действия в поставщиках и типах ресурсов Azure.
Не начато
Это состояние соответствия указывает, что цикл оценки не запущен для политики или ресурса.
Пример
Теперь, когда у вас есть представление о том, какие состояния соответствия существуют и что означает каждый из них, давайте рассмотрим пример использования совместимых и несоответствующих состояний.
Предположим, у вас есть группа ресурсов — ContosoRG, с некоторыми учетными записями хранения (выделенными красным цветом), которые предоставляются общедоступным сетям.
На схеме показаны образы для пяти учетных записей хранения в группе ресурсов Contoso R G. Учетные записи хранения 1 и 3 являются синими, а учетные записи хранения 2, 4 и 5 — красными.
В этом примере необходимо опасаться угроз безопасности. Предположим, что вы назначаете определение политики, которое выполняет аудит учетных записей хранения, предоставляемых общедоступным сетям, и что для этого назначения не создаются исключения. Политика проверяет наличие применимых ресурсов (включая все учетные записи хранения в группе ресурсов ContosoRG), а затем оценивает те ресурсы, которые не исключены из оценки. Он проверяет три учетные записи хранения, предоставляемые общедоступным сетям, изменяя их состояния соответствия на несоответствующие. Остальные остаток помечаются соответствующими требованиям.
На схеме показаны образы для пяти учетных записей хранения в группе ресурсов Contoso R G. Учетные записи хранения 1 и 3 теперь помечены зеленой галочкой, а учетные записи хранения 2, 4 и 5 теперь помечены красными предупреждениями.
Свертка соответствия требованиям
Состояние соответствия определяется на ресурс, назначение по политике. Тем не менее, нам часто требуется представление о состоянии среды, где вступает в игру агрегатное соответствие.
На портале можно просмотреть статистические результаты соответствия:
| Представление соответствия агрегатам | Факторы, определяющие состояние соответствия |
|---|---|
| Область | Все политики в выбранной области |
| Инициатива | Все политики в рамках инициативы |
| Группа инициатив или управление | Все политики в группе или элементе управления |
| Политика | Все применимые ресурсы |
| Ресурс | Все применимые политики |
Сравнение различных состояний соответствия
Таким образом, как определяется состояние статистического соответствия, если несколько ресурсов или политик имеют разные состояния соответствия? Политика Azure ранжирует каждое состояние соответствия таким образом, чтобы один выиграл на другой в этой ситуации. Порядок ранжирования:
- Не соответствует
- Соответствует
- Ошибка
- Конфликтует
- Защищенный (предварительная версия)
- Освобождены
- Неизвестно (предварительная версия)
Примечание.
Не запущены и не зарегистрированы в вычислениях свертки соответствия требованиям.
В этом порядке ранжирования, если существуют как несоответствующие, так и соответствующие состояния, то свернутый агрегат будет несоответствующим и т. д. Рассмотрим пример:
Предположим, что инициатива содержит 10 политик, а ресурс освобождается от одной политики, но соответствует оставшейся девяти. Так как соответствующее состояние имеет более высокий ранг, чем исключенное состояние, ресурс будет регистрироваться как соответствующее в сводной сводке инициативы. Таким образом, ресурс отображается только как исключение для всей инициативы, если она исключена или имеет неизвестное соответствие, все остальные применимые политики в этой инициативе. С другой стороны, ресурс, который не соответствует хотя бы одной применимой политике в инициативе, имеет общее состояние соответствия требованиям независимо от остальных применимых политик.
Процент соответствия требованиям
Процент соответствия определяется разделением совместимых, исключенных и неизвестных ресурсов на общий объем ресурсов. Общий объем ресурсов включает ресурсы с соответствующими, несоответствующими, неизвестными, исключенными, конфликтующими и состояниями ошибок.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
На изображении есть 20 уникальных ресурсов, которые применимы, и только один является несоответствующим. Общее соответствие ресурсов составляет 95 % (19 из 20).
Следующие шаги
- Узнайте о том, как получить подробные сведения о соответствии.
- Узнайте, как определить причины несоответствия
- Получение данных соответствия с помощью примеров запросов Azure Resource Graph для Политика Azure