Aracılığıyla paylaş


Azure İlkesi tanımları temel bilgileri etkiler

Azure İlkesi içindeki her ilke tanımının içinde policyRuletek effect bir tane vardır. Bu effect , ilke kuralı eşleşecek şekilde değerlendirildiğinde ne olacağını belirler. Efektler yeni bir kaynak, güncelleştirilmiş kaynak veya mevcut bir kaynak içinse farklı davranır.

Desteklenen Azure İlkesi tanım etkileri şunlardır:

Değişim efektleri

Bazen belirli bir ilke tanımı için birden çok efekt geçerli olabilir. Parametreler genellikle atama sırasında tek bir tanımın daha çok yönlü olabilmesi için izin verilen efekt değerlerini (allowedValues) belirtmek için kullanılır. Ancak, tüm efektlerin birbirinin yerine kullanılamadığını unutmayın. İlke kuralındaki kaynak özellikleri ve mantığı, belirli bir efektin ilke tanımı için geçerli kabul edilip edilmeyeceğini belirleyebilir. Örneğin, etkin ilke tanımları, ilke kuralında etkin auditIfNotExists ilkeler auditiçin gerekli olmayan diğer ayrıntıları gerektirir. Efektler de farklı davranır. audit ilkeler bir kaynağın uyumluluğunu kendi özelliklerine göre değerlendirirken auditIfNotExists , ilkeler bir kaynağın uyumluluğunu alt veya uzantı kaynağının özelliklerine göre değerlendirir.

Aşağıdaki listede, değiştirilebilir efektlerle ilgili bazı genel yönergeler verilmiştir:

  • audit, denyve veya modify append genellikle birbirinin yerine kullanılabilir.
  • auditIfNotExists ve deployIfNotExists genellikle birbirinin yerine kullanılabilir.
  • manual birbirinin yerine kullanılamaz.
  • disabled herhangi bir etkiyle değiştirilebilir.

Değerlendirme sırası

Azure İlkesi ilk değerlendirmesi, kaynak oluşturma veya güncelleştirme isteklerine yöneliktir. Azure İlkesi kaynak için geçerli olan tüm atamaların listesini oluşturur ve ardından kaynağı her bir tanıma göre değerlendirir. Resource Manager modu için Azure İlkesi, isteği uygun Kaynak Sağlayıcısına teslim etmeden önce etkilerin birkaçını işler. Bu düzen, bir kaynak Azure İlkesi tasarlanan idare denetimlerini karşılamadığında Kaynak Sağlayıcısı tarafından gereksiz işleme yapılmasını önler. Kaynak Sağlayıcısı moduyla, Kaynak Sağlayıcısı değerlendirmeyi ve sonucu yönetir ve sonuçları Azure İlkesi raporlar.

  • disabled ilke kuralının değerlendirilip değerlendirilmeyeceğini belirlemek için önce denetlendi.
  • append ve modify ardından değerlendirilir. İsteği değiştirebileceğinden, yapılan bir değişiklik denetim veya reddetme etkisinin tetiklenmesini engelleyebilir. Bu etkiler yalnızca Resource Manager modunda kullanılabilir.
  • deny daha sonra değerlendirilir. Reddetmenin denetimden önce değerlendirilmesi sayesinde istenmeyen bir kaynağın günlüğe iki kez kaydedilmesi önlenir.
  • audit değerlendirilir.
  • manual değerlendirilir.
  • auditIfNotExists değerlendirilir.
  • denyAction en son değerlendirilir.

Kaynak Sağlayıcısı bir Resource Manager modu isteğinde bir başarı kodu döndürdüğünde, auditIfNotExists deployIfNotExists daha fazla uyumluluk günlüğü veya eylem gerekip gerekmediğini belirlemek için değerlendirin.

PATCH yalnızca ilgili alanları değiştiren tags istekler, ilke değerlendirmesini ilgili alanları inceleyen tags koşulları içeren ilkelerle kısıtlar.

Katmanlama ilkesi tanımları

Çeşitli atamalar bir kaynağı etkileyebilir. Bu atamalar aynı kapsamda veya farklı kapsamlarda olabilir. Bu atamaların her birinin tanımlanmış farklı bir etkisi de olabilir. Her ilkenin koşulu ve etkisi bağımsız olarak değerlendirilir. Örneğin:

  • İlke 1
    • Kaynak konumunu şu şekilde kısıtlar: westus
    • A aboneliğine atandı
    • Reddetme etkisi
  • İlke 2
    • Kaynak konumunu şu şekilde kısıtlar: eastus
    • A aboneliğinde B kaynak grubuna atandı
    • Denetim etkisi

Bu kurulum aşağıdaki sonuca neden olur:

  • içinde B eastus kaynak grubunda bulunan tüm kaynaklar ilke 2 ile uyumludur ve ilke 1 ile uyumlu değildir
  • B kaynak grubunda yer alan ve içinde olmayan eastus tüm kaynaklar ilke 2 ile uyumlu değildir ve içinde değilse ilke 1 ile uyumlu değildir westus
  • İlke 1, A aboneliğinde bulunmayan yeni kaynakları reddeder westus
  • A aboneliğindeki ve B kaynak grubundaki tüm yeni kaynaklar, ilke 2'de westus oluşturulur ve uyumlu değildir

Hem ilke 1 hem de ilke 2 reddetme etkisine sahipse, durum şu şekilde değişir:

  • B kaynak grubunda yer alan ve içinde olmayan eastus tüm kaynaklar ilke 2 ile uyumlu değildir
  • B içinde olmayan westus kaynak grubunda bulunan tüm kaynaklar ilke 1 ile uyumlu değildir
  • İlke 1, A aboneliğinde bulunmayan yeni kaynakları reddeder westus
  • A aboneliğinin B kaynak grubundaki yeni kaynaklar reddedildi

Her atama ayrı ayrı değerlendirilir. Bu nedenle, bir kaynağın kapsam farklarından bir boşluktan geçmesi için bir fırsat yoktur. Katmanlama ilkesi tanımlarının net sonucu en kısıtlayıcı kümülatif olarak kabul edilir. Örneğin, hem ilke 1 hem de 2'nin bir deny etkisi olsaydı, bir kaynak çakışan ve çakışan ilke tanımları tarafından engellenirdi. Kaynağın hedef kapsamda yine de oluşturulması gerekiyorsa, doğru ilke atamalarının doğru kapsamları etkilediğini doğrulamak için her atamadaki dışlamaları gözden geçirin.

Sonraki adımlar