Förstå omfånget i Azure Policy
Det finns många inställningar som avgör vilka resurser som kan utvärderas och vilka resurser Azure Policy utvärderar. Det primära konceptet för dessa kontroller är omfång. Omfånget i Azure Policy baseras på hur omfånget fungerar i Azure Resource Manager. En översikt på hög nivå finns i Omfång i Azure Resource Manager.
Den här artikeln förklarar vikten av omfång i Azure Policy och relaterade objekt och egenskaper.
Definitionsplats
Det första instansomfånget som används av Azure Policy är när en principdefinition skapas. Definitionen kan sparas i antingen en hanteringsgrupp eller en prenumeration. Platsen avgör omfånget som initiativet eller principen kan tilldelas till. Resurserna måste finnas i resurshierarkin för den definitionsplats som ska riktas för tilldelning. De resurser som omfattas av Azure Policy beskriver hur principer utvärderas.
Om definitionsplatsen är en:
- Prenumeration: Den prenumeration där principen definieras och resurser i den prenumerationen kan tilldelas principdefinitionen.
- Hanteringsgrupp: Hanteringsgruppen där principen definieras och resurser i underordnade hanteringsgrupper och underordnade prenumerationer kan tilldelas principdefinitionen. Om du planerar att tillämpa principdefinitionen på flera prenumerationer måste platsen vara en hanteringsgrupp som innehåller varje prenumeration.
Platsen ska vara resurscontainern som delas av alla resurser som du vill använda principdefinitionen på. Den här resurscontainern är vanligtvis en hanteringsgrupp nära rothanteringsgruppen.
Tilldelningsomfång
En tilldelning har flera egenskaper som anger ett omfång. Användningen av dessa egenskaper avgör vilken resurs för Azure Policy som ska utvärderas och vilka resurser som räknas mot efterlevnad. Dessa egenskaper mappas till följande begrepp:
- Inkludering: En definition utvärderar efterlevnad för en resurshierarki eller enskild resurs. Tilldelningsobjektets omfång avgör vad som ska inkluderas och utvärderas för efterlevnad. Mer information finns i Tilldelningsstruktur för Azure Policy.
- Undantag: En definition bör inte utvärdera kompatibilitet för en resurshierarki eller enskild resurs. Matrisegenskapen
properties.notScopesför ett tilldelningsobjekt avgör vad som ska undantas. Resurser inom dessa omfång utvärderas inte eller ingår i efterlevnadsantalet. Mer information finns i Azure Policy-tilldelningsstrukturen exkluderade omfång.
Förutom egenskaperna för principtilldelningen är azure policy-objektet för undantagsstruktur . Undantag förbättrar omfångsberättelsen genom att tillhandahålla en metod för att identifiera en del av en tilldelning som inte ska utvärderas.
Undantag: En definition utvärderar kompatibilitet för en resurshierarki eller enskild resurs, men utvärderas inte av en anledning, till exempel ett undantag eller en begränsning via en annan metod. Resurser i det här tillståndet visas som Undantagna i efterlevnadsrapporter så att de kan spåras. Undantagsobjektet skapas i resurshierarkin eller den enskilda resursen som ett underordnat objekt, vilket avgör undantagets omfång. En resurshierarki eller en enskild resurs kan undantas från flera tilldelningar. Undantaget kan konfigureras att upphöra enligt ett schema med hjälp expiresOn av egenskapen . Mer information finns i Azure Policy-undantagsstrukturen.
Kommentar
På grund av effekten av att bevilja ett undantag för en resurshierarki eller enskild resurs har undantag ytterligare säkerhetsåtgärder. Förutom att kräva Microsoft.Authorization/policyExemptions/write åtgärden i resurshierarkin eller den enskilda resursen måste skaparen av ett undantag ha verbet exempt/Action på måltilldelningen.
Omfångsjämförelse
Följande tabell är en jämförelse av omfångsalternativen:
| Resurser | Inbegripande | Exkludering (notScopes) | Undantag |
|---|---|---|---|
| Resurser utvärderas | ✔ | - | - |
| Resource Manager-objekt | - | - | ✔ |
| Kräver ändring av principtilldelningsobjekt | ✔ | ✔ | - |
Så hur väljer du om du vill använda ett undantag eller undantag? Vanligtvis rekommenderas undantag att permanent kringgå utvärdering för ett brett omfång som en testmiljö som inte kräver samma styrningsnivå. Undantag rekommenderas för tidsbundna eller mer specifika scenarier där en resurs- eller resurshierarki fortfarande ska spåras och annars skulle utvärderas, men det finns en specifik anledning till att den inte bör utvärderas för efterlevnad.
Nästa steg
- Lär dig mer om policydefinitionsstrukturen.
- Förstå hur du programmatiskt skapar principer.
- Lär dig hur du hämtar efterlevnadsdata.
- Lär dig hur du åtgärdar icke-kompatibla resurser.
- Läs mer om hur du organiserar dina resurser med Azure-hanteringsgrupper.