Vad är tillämpligt i Azure Policy?

Artikel
12/15/2023

När en principdefinition tilldelas till ett omfång avgör Azure Policy vilka resurser i det omfånget som ska beaktas för utvärdering av efterlevnad. En resurs utvärderas endast för efterlevnad om den anses vara tillämplig på den angivna principtilldelningen.

Tillämpligheten bestäms av flera faktorer:

Villkor i if principregelns block.
Läge för principdefinitionen.
Undantagna omfång som anges i tilldelningen.
Resursväljare som anges i tilldelningen.
Undantag för resurser eller resurshierarkier.

Villkor i blocket i if principregeln utvärderas för tillämplighet på något olika sätt baserat på effekten.

Kommentar

Tillämpligheten skiljer sig från efterlevnad och logiken som används för att fastställa var och en är olika. Om en resurs är tillämplig innebär det att den är relevant för principen. Om en resurs är kompatibel innebär det att den följer principen. Ibland påverkar endast vissa villkor från principregeln tillämpligheten, medan alla villkor i principregeln påverkar efterlevnadstillståndet.

Resource Manager-lägen

-IfNotExists policyeffekter

Tillämpligheten och AuditIfNotExistsDeployIfNotExists principerna baseras på hela if villkoret för principregeln. När utvärderas if till false är principen inte tillämplig.

Alla andra principeffekter

Azure Policy utvärderar endast type, nameoch kind villkor i principregeluttrycket if och behandlar andra villkor som sanna (eller falska när de negeras). Om det slutliga utvärderingsresultatet är sant gäller principen. Annars är det inte tillämpligt.

Här följer specialfall för den tidigare beskrivna tillämplighetslogik:

Scenario	Result
Ogiltiga alias i villkoren `if`	Principen är inte tillämplig
När villkoren `if` endast `kind` består av villkor	Principen gäller för alla resurser
När villkoren `if` endast `name` består av villkor	Principen gäller för alla resurser
När villkoren `if` består av endast `type` och `kind` villkor	Endast `type` villkor beaktas vid beslut om tillämplighet
När villkoren `if` består av endast `type` och `name` villkor	Endast `type` villkor beaktas vid beslut om tillämplighet
När villkoren `if` består av `type`, `kind`och andra villkor	Både `type` villkor och `kind` villkor beaktas vid beslut om tillämplighet
När villkoren `if` består av `type`, `name`och andra villkor	Både `type` villkor och `name` villkor beaktas vid beslut om tillämplighet
När några villkor (inklusive distributionsparametrar) innehåller ett `location` villkor	Gäller inte för prenumerationer

Lägen för resursprovider

Microsoft.Kubernetes.Data

Principernas tillämplighet Microsoft.Kubernetes.Data baseras på hela if villkoret för principregeln. När utvärderas if till false är principen inte tillämplig.

Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data och Microsoft.MachineLearningServices.v2.Data

Principer med dessa RP-lägen gäller om villkoret type för principregeln utvärderas till sant. Refererar type till komponenttyp.

Key Vault-komponenttyper:

Microsoft.KeyVault.Data/vaults/certificates
Microsoft.KeyVault.Data/vaults/keys
Microsoft.KeyVault.Data/vaults/secrets

Hanterad HSM-komponenttyp:

Microsoft.ManagedHSM.Data/managedHsms/keys

Azure Data Factory-komponenttyp:

Microsoft.DataFactory.Data/factories/outboundTraffic

Azure Machine Learning-komponenttyp:

Microsoft.MachineLearningServices.v2.Data/workspaces/deployments

Microsoft.Network.Data

Principer med läge Microsoft.Network.Data är tillämpliga om type principregelns villkor och name utvärderas till true. Refererar type till komponenttyp:

Microsoft.Network/virtualNetworks

Ej tillämpliga resurser

Det kan finnas situationer där resurser är tillämpliga på en tilldelning baserat på villkor eller omfång, men de bör inte vara tillämpliga på grund av affärsskäl. Då är det bäst att tillämpa undantag eller undantag. Om du vill veta mer om när du ska använda någon av dem läser du omfångsjämförelse