Förstå omfånget i Azure Policy
Det finns många inställningar som avgör vilka resurser som kan utvärderas och vilka resurser som utvärderas av Azure Policy. Det primära konceptet för dessa kontroller är omfång. Omfånget i Azure Policy baseras på hur omfånget fungerar i Azure Resource Manager. En översikt på hög nivå finns i Omfång i Azure Resource Manager.
Den här artikeln förklarar vikten av omfång i Azure Policy och dess relaterade objekt och egenskaper.
Definitionsplats
Det första instansomfånget som används av Azure Policy är när en principdefinition skapas. Definitionen kan sparas i antingen en hanteringsgrupp eller en prenumeration. Platsen avgör omfånget som initiativet eller principen kan tilldelas till. Resurserna måste finnas i resurshierarkin för den definitionsplats som ska riktas för tilldelning. De resurser som omfattas av Azure Policy beskriver hur principer utvärderas.
Om definitionsplatsen är en:
- Prenumeration – Den prenumeration där principen definieras och resurser i den prenumerationen kan tilldelas principdefinitionen.
- Hanteringsgrupp – hanteringsgruppen där principen definieras och resurser i underordnade hanteringsgrupper och underordnade prenumerationer kan tilldelas principdefinitionen. Om du planerar att tillämpa principdefinitionen på flera prenumerationer måste platsen vara en hanteringsgrupp som innehåller varje prenumeration.
Platsen ska vara resurscontainern som delas av alla resurser som du vill använda principdefinitionen på. Den här resurscontainern är vanligtvis en hanteringsgrupp nära rothanteringsgruppen.
Tilldelningsomfång
En tilldelning har flera egenskaper som anger ett omfång. Användningen av dessa egenskaper avgör vilken resurs för Azure Policy som ska utvärderas och vilka resurser som räknas mot efterlevnad. Dessa egenskaper mappas till följande begrepp:
Inkludering – En resurshierarki eller en enskild resurs bör utvärderas för efterlevnad av definitionen. Egenskapen
properties.scopeför ett tilldelningsobjekt avgör vad som ska inkluderas och utvärderas för efterlevnad. Mer information finns i Tilldelningsdefinition.Exkludering – En resurshierarki eller en enskild resurs bör inte utvärderas för efterlevnad av definitionen. Matrisegenskapen
properties.notScopesför ett tilldelningsobjekt avgör vad som ska undantas. Resurser inom dessa omfång utvärderas inte eller ingår i efterlevnadsantalet. Mer information finns i Tilldelningsdefinition – undantagna omfång.
Förutom egenskaperna för principtilldelningen är det principundantagsobjektet. Undantag förbättrar omfångsberättelsen genom att tillhandahålla en metod för att identifiera en del av en tilldelning som inte ska utvärderas.
Undantag – En resurshierarki eller en enskild resurs bör utvärderas för efterlevnad av definitionen, men utvärderas inte av en anledning, till exempel att en undantagsbefrielse eller en annan metod minimeras. Resurser i det här tillståndet visas som Undantagna i efterlevnadsrapporter så att de kan spåras. Undantagsobjektet skapas i resurshierarkin eller den enskilda resursen som ett underordnat objekt, vilket avgör undantagets omfång. En resurshierarki eller en enskild resurs kan undantas från flera tilldelningar. Undantaget kan konfigureras att upphöra enligt ett schema med hjälp
expiresOnav egenskapen . Mer information finns i Undantagsdefinition.Kommentar
På grund av effekten av att bevilja ett undantag för en resurshierarki eller enskild resurs har undantag ytterligare säkerhetsåtgärder. Förutom att kräva
Microsoft.Authorization/policyExemptions/writeåtgärden i resurshierarkin eller den enskilda resursen måste skaparen av ett undantag ha verbetexempt/Actionpå måltilldelningen.
Omfångsjämförelse
Följande tabell är en jämförelse av omfångsalternativen:
| Införandet | Exkludering (notScopes) | Undantag | |
|---|---|---|---|
| Resurser utvärderas | ✔ | - | - |
| Resource Manager-objekt | - | - | ✔ |
| Kräver ändring av principtilldelningsobjekt | ✔ | ✔ | - |
Så hur väljer du om du vill använda ett undantag eller undantag? Vanligtvis rekommenderas undantag att permanent kringgå utvärdering för ett brett omfång som en testmiljö som inte kräver samma styrningsnivå. Undantag rekommenderas för tidsbundna eller mer specifika scenarier där en resurs- eller resurshierarki fortfarande ska spåras och annars skulle utvärderas, men det finns en specifik anledning till att den inte bör utvärderas för efterlevnad.
Nästa steg
- Lär dig mer om policydefinitionsstrukturen.
- Förstå hur du programmatiskt skapar principer.
- Lär dig hur du hämtar efterlevnadsdata.
- Lär dig hur du åtgärdar icke-kompatibla resurser.
- Granska vad en hanteringsgrupp är med Organisera dina resurser med Azure-hanteringsgrupper.