Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Istnieje wiele ustawień, które określają, które zasoby mogą być oceniane i które zasoby ocenia usługa Azure Policy. Podstawową koncepcją tych kontrolek jest zakres. Zakres w usłudze Azure Policy jest oparty na sposobie działania zakresu w usłudze Azure Resource Manager. Aby zapoznać się z ogólnym omówieniem, zobacz Zakres w usłudze Azure Resource Manager.
W tym artykule wyjaśniono znaczenie zakresu w usłudze Azure Policy oraz powiązane obiekty i właściwości.
Lokalizacja definicji
Pierwszym zakresem wystąpienia używanym przez usługę Azure Policy jest utworzenie definicji zasad. Definicja może zostać zapisana w grupie zarządzania lub subskrypcji. Lokalizacja określa zakres, do którego można przypisać inicjatywę lub zasady. Zasoby muszą znajdować się w hierarchii zasobów lokalizacji definicji, która jest celem przypisania. Zasoby objęte usługą Azure Policy opisują sposób oceniania zasad.
Jeśli lokalizacja definicji to:
- Subskrypcja: subskrypcja, w której zdefiniowano definicję polityki, a zasoby w ramach tej subskrypcji mogą zostać przypisane do tej definicji polityki.
- Grupa zarządzania: jednostka zarządzająca, w której zdefiniowano politykę, i gdzie zasoby w podrzędnych grupach zarządzania oraz subskrypcjach podrzędnych mogą mieć przypisaną definicję polityki. Jeśli planujesz zastosować definicję zasad do kilku subskrypcji, lokalizacja musi być grupą zarządzania zawierającą każdą subskrypcję.
Lokalizacja powinna być kontenerem zasobów współużytkowany przez wszystkie zasoby, dla których chcesz użyć definicji zasad. Ten kontener zasobów jest zazwyczaj grupą zarządzania znajdującą się blisko grupy zarządzania głównej.
Zakresy przypisania
Przypisanie ma kilka właściwości, które ustawiają zakres. Użycie tych właściwości określa, który zasób ma oceniać Azure Policy i które zasoby wliczają się do zgodności. Te właściwości odnoszą się do następujących pojęć:
- Dołączanie: definicja ocenia zgodność hierarchii zasobów lub pojedynczego zasobu. Zakres obiektu przypisania określa, co należy uwzględnić i ocenić pod kątem zgodności. Aby uzyskać więcej informacji, zobacz Struktura przypisywania polityki Azure.
- Wykluczenie: definicja nie powinna oceniać zgodności dla hierarchii zasobów ani pojedynczego zasobu. Właściwość
properties.notScopestablicy w obiekcie przypisania określa, co należy wykluczyć. Zasoby w tych zakresach nie są oceniane ani uwzględniane w liczbie zgodności. Aby uzyskać więcej informacji, zobacz Wykluczone zakresy struktury przypisania usługi Azure Policy.
Oprócz właściwości przypisania zasad jest obiektem struktury wykluczającej Azure Policy. Wykluczenia rozszerzają historię zakresu, udostępniając metodę identyfikowania części przypisania, która nie ma być oceniana.
Wykluczenie: definicja ocenia zgodność hierarchii zasobów lub pojedynczego zasobu, ale nie ocenia z powodu takiego jak zwolnienie lub ograniczenie ryzyka za pomocą innej metody. Zasoby w tym stanie są wyświetlane jako Wykluczone w raportach zgodności, aby można je było śledzić. Obiekt zwolnienia jest tworzony w hierarchii zasobów lub dla pojedynczego zasobu jako obiekt podrzędny, który określa zakres zwolnienia. Hierarchia zasobów lub pojedynczy zasób mogą być zwolnione z wielu przypisań. Wykluczenie można skonfigurować tak, aby wygasało zgodnie z harmonogramem przy użyciu expiresOn właściwości . Aby uzyskać więcej informacji, zobacz Struktura wykluczania usługi Azure Policy.
Uwaga
Ze względu na wpływ przyznania wykluczenia dla hierarchii zasobów lub pojedynczego zasobu wykluczenia mają dodatkowe środki zabezpieczeń. Oprócz wymagania Microsoft.Authorization/policyExemptions/write operacji w hierarchii zasobów lub pojedynczego zasobu twórca wykluczenia musi mieć exempt/Action czasownik w przypisaniu docelowym.
Porównanie zakresu
Poniższa tabela zawiera porównanie opcji zakresu:
| Zasoby | Inkluzywność | Wykluczenie (notScopes) | Zwolnienie |
|---|---|---|---|
| Zasoby są oceniane | ✔ | - | - |
| Obiekt usługi Resource Manager | - | - | ✔ |
| Wymaga modyfikowania obiektu przypisania zasad | ✔ | ✔ | - |
Jak więc wybrać, czy używać wykluczenia, czy zwolnienia? Zazwyczaj zaleca się trwałe wykluczanie z oceny w odniesieniu do szerokiego zakresu, takiego jak środowisko testowe, które nie wymaga tego samego poziomu nadzoru. Wyjątki są zalecane w sytuacjach czasowych lub bardziej szczegółowych, w których zasoby lub ich hierarchie powinny być nadal śledzone i normalnie byłyby oceniane, ale nie powinny być oceniane pod kątem zgodności z określonego powodu.
Następne kroki
- Dowiedz się więcej o strukturze definicji zasad.
- Dowiedz się, jak programowo tworzyć zasady.
- Dowiedz się, jak uzyskać dane zgodności.
- Dowiedz się, jak korygować niezgodne zasoby.
- Dowiedz się więcej o sposobie organizowania zasobów przy użyciu grup zarządzania platformy Azure.