Поделиться через


основы эффекта Политика Azure определений

Каждое определение политики в Политика Azure имеет один effect в своем определенииpolicyRule. Это effect определяет, что происходит при оценке правила политики. Действия по-разному влияют на новые, обновленные и имеющиеся ресурсы.

Ниже приведены поддерживаемые эффекты определения Политика Azure:

Чередующиеся эффекты

Иногда для определенного определения политики может быть допустимо несколько эффектов. Параметры часто используются для указания допустимых значений эффектов (allowedValues), чтобы одно определение было более универсальным во время назначения. Однако важно отметить, что не все эффекты взаимозаменяемы. Свойства ресурсов и логика в правиле политики могут определить, является ли определенный эффект допустимым для определения политики. Например, определения политик с эффектом auditIfNotExists требуют других сведений в правиле политики, которые не требуются для политик с эффектом audit. Эффекты также ведут себя по-разному. audit политики оценивают соответствие ресурса на основе собственных свойств, а auditIfNotExists политики оценивают соответствие ресурса на основе свойств дочернего или расширения ресурса.

Ниже приведены некоторые общие рекомендации по взаимозаменяемым эффектам:

  • audit, denyи любой или append modify часто взаимозаменяемый.
  • auditIfNotExists и deployIfNotExists часто взаимозаменяемы.
  • manual не является взаимозаменяемым.
  • disabled является взаимозаменяемым с любым эффектом.

Порядок вычислений

первая оценка Политика Azure — это запросы на создание или обновление ресурса. Политика Azure создает список всех назначений, которые применяются к ресурсу, а затем оценивает ресурс по каждому определению. В режиме Resource Manager Политика Azure обрабатывает некоторые эффекты, прежде чем обработать запрос к соответствующему поставщику ресурсов. Благодаря такому порядку предотвращается ненужная обработка поставщиком ресурсов, если ресурс не соответствует правилам управления, установленным в Политике Azure. В режиме поставщика ресурсов поставщик ресурсов управляет вычислением и результатом и передает результаты обратно в Политику Azure.

  • disabledсначала проверка, чтобы определить, следует ли оценивать правило политики.
  • append и modify затем вычисляются. Так как запрос может измениться, внесенные изменения могут предотвратить аудит или запретить эффект активации. Эти эффекты доступны только в режиме Resource Manager.
  • deny затем вычисляется. Запрет оценивается перед аудитом, чтобы нежелательный ресурс не заносился в журнал дважды.
  • audit вычисляется.
  • manual вычисляется.
  • auditIfNotExists вычисляется.
  • denyAction вычисляется последний.

После того как поставщик ресурсов возвращает код успешного выполнения в запросе режима Resource Manager, auditIfNotExists и deployIfNotExists определите, требуется ли больше ведения журнала соответствия или действия.

PATCH запросы, которые изменяют tags только связанные поля, ограничивают оценку политики политиками, содержащими условия, которые проверяют tags связанные поля.

Наложение определений политик

Несколько назначений могут повлиять на ресурс. Эти назначения могут находиться в одном область или в разных область. Для этих назначений наверняка будут назначены разные действия. Условие и действие для каждой политики вычисляется независимо друг от друга. Например:

  • Политика 1
    • Ограничивает расположение ресурсов westus
    • Назначенная подписка А
    • Результат запрета
  • Политика 2
    • Ограничивает расположение ресурсов eastus
    • Назначенные группе ресурсов B в подписке A
    • Действие аудита

Эта настройка приведет к следующему результату.

  • Любой ресурс, уже существующий в группе ресурсов B, eastus соответствует политике 2 и не соответствует политике 1.
  • Любой ресурс, уже существующий в группе ресурсов B, не eastus соответствует политике 2 и не соответствует политике 1, если нет в westus
  • Политика 1 запрещает любой новый ресурс в подписке A не в westus
  • Все новые ресурсы в подписке A и группе ресурсов B создаются westus и не соответствуют политике 2.

Если задать для политик 1 и 2 действие запрета, ситуация изменится следующим образом.

  • Любой ресурс, уже существующий в группе ресурсов B, не eastus соответствует политике 2
  • Любой ресурс, уже существующий в группе ресурсов B, не westus соответствует политике 1
  • Политика 1 запрещает любой новый ресурс в подписке A не в westus
  • Любой новый ресурс в группе ресурсов B в подписке A запрещается.

Каждое назначение оценивается по отдельности. Таким образом, у ресурса нет возможности ускользнуть из-за различий в объеме. Общий результат наложения определений политик считается накопительным по принципу максимальной строгости. Например, если в политике 1 и 2 действует deny эффект, ресурс будет заблокирован перекрывающимися и конфликтующими определениями политики. Если вам все равно нужно создать ресурс в целевой области, пересмотрите исключения в каждом назначении, чтобы гарантировать, что определения политик влияют на правильные области.

Следующие шаги