Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po przypisaniu definicji zasad do zakresu usługa Azure Policy określa, które zasoby w tym zakresie powinny być brane pod uwagę do oceny zgodności. Zasób jest oceniany tylko pod kątem zgodności, jeśli jest uznawany za stosowalny dla przypisanego zestawu zasad.
Kilka czynników określa możliwość stosowania:
-
Warunki w
ifbloku reguły polityki. - Tryb definicji zasad.
- Wykluczone zakresy określone w przypisaniu.
- Selektory zasobów określone w przypisaniu.
- Wykluczenia z zasobów lub hierarchii zasobów.
Warunki w if bloku zasady są oceniane pod kątem ich zastosowania w nieco inny sposób na podstawie wpływu.
Uwaga
Zastosowanie różni się od zgodności, a logika używana do określania poszczególnych elementów różni się. Jeśli zasób jest odpowiedni, oznacza to, że jest istotny dla polityki. Jeśli zasób jest zgodny, oznacza to, że spełnia wymagania polityki. Czasami tylko niektóre warunki z reguły zasad mają wpływ na zastosowanie, podczas gdy wszystkie warunki reguły zasad wpływają na stan zgodności.
Tryby usługi Resource Manager
efekty polityki ifNotExists
Zastosowanie zasad AuditIfNotExists i DeployIfNotExists opiera się na całym warunku if reguły zasad. Gdy if jest równe wartości false, zasady nie mają zastosowania.
Wszystkie inne efekty zasad
Usługa Azure Policy ocenia tylko type, name oraz kind warunki w wyrażeniu reguły if zasad i traktuje inne warunki jako prawdziwe (lub fałszywe, gdy zaprzeczone). Jeśli ostateczny wynik oceny to prawda, zasady mają zastosowanie. W przeciwnym razie nie ma zastosowania.
Poniżej przedstawiono specjalne przypadki opisanej wcześniej logiki stosowania:
| Scenariusz | Wynik |
|---|---|
Jakiekolwiek nieprawidłowe aliasy w warunkach if |
Zasady nie mają zastosowania |
Gdy if warunki składają się wyłącznie z kind warunków |
Zasady mają zastosowanie do wszystkich zasobów |
Gdy if warunki składają się wyłącznie z name warunków |
Zasady mają zastosowanie do wszystkich zasobów |
Gdy if warunki składają się tylko z warunków type i kind |
Podczas podejmowania decyzji o zastosowaniu brane są pod uwagę tylko type warunki |
Gdy if warunki składają się tylko z warunków type i name |
Podczas podejmowania decyzji o zastosowaniu brane są pod uwagę tylko type warunki |
Gdy if warunki składają się z type, kind, i innych warunków |
Warunki type i kind są brane pod uwagę podczas podejmowania decyzji o zastosowaniu |
Gdy if warunki składają się z type, name, i innych warunków |
Warunki type i name są brane pod uwagę podczas podejmowania decyzji o zastosowaniu |
Jeśli wszystkie warunki (w tym parametry wdrożenia) zawierają location warunek |
Nie ma zastosowania do subskrypcji |
Tryby dostawcy zasobów
Microsoft.Kubernetes.Data
Microsoft.Kubernetes.Data Zastosowanie zasad jest oparte na całym if warunku reguły zasad. Gdy if jest równe wartości false, zasady nie mają zastosowania.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data i Microsoft.MachineLearningServices.v2.Data
Zasady z tymi trybami dostawcy zasobów mają zastosowanie, jeśli type warunek reguły zasad ma wartość true. Element type odnosi się do typu składnika.
Typy składników usługi Key Vault:
Microsoft.KeyVault.Data/vaults/certificatesMicrosoft.KeyVault.Data/vaults/keysMicrosoft.KeyVault.Data/vaults/secrets
Typ składnika zarządzanego sprzętowego modułu zabezpieczeń (HSM):
Microsoft.ManagedHSM.Data/managedHsms/keys
Typ składnika usługi Azure Data Factory:
Microsoft.DataFactory.Data/factories/outboundTraffic
Typ składnika usługi Azure Machine Learning:
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Zasady z trybem Microsoft.Network.Data mają zastosowanie, jeśli type warunki i name reguły zasad mają wartość true. Odnosi się do rodzaju składnika: type
Microsoft.Network/virtualNetworks
Zasoby nie mają zastosowania
Mogą wystąpić sytuacje, w których zasoby mają zastosowanie do przypisania na podstawie warunków lub zakresu, ale nie powinny być stosowane ze względów biznesowych. W tym czasie najlepszym rozwiązaniem byłoby zastosowanie wykluczeń lub zwolnień. Aby dowiedzieć się więcej na temat tego, kiedy należy używać dowolnego z nich, zapoznaj się z porównaniem zakresu
Uwaga
Z założenia usługa Azure Policy nie uwzględnia zasobów w ramach dostawcy zasobów Microsoft.Resources w ocenie zasad, z wyjątkiem subskrypcji i grup zasobów.
Następne kroki
- Dowiedz się, jak oznaczyć zasoby jako nie mające zastosowania.
- Dowiedz się więcej na temat ograniczeń stosowania
- Dowiedz się, jak uzyskać dane zgodności zasobów platformy Azure.
- Przejrzyj aktualizację zgodności zasad dla polityk typu zasobów.