فهم النطاق في نهج Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

هناك العديد من الإعدادات التي تحدد الموارد التي يمكن تقييمها والموارد التي يتم تقييمها بواسطة Azure Policy. المفهوم الأساسي لهذه الضوابط هو النطاق. يعتمد النطاق في نهج Azure على كيفية عمل النطاق في Azure Resource Manager. للحصول على نظرة عامة عالية المستوى، راجع النطاق في Azure Resource Manager. توضح هذه المقالة أهمية النطاق في نهج Azure والكائنات والخصائص ذات الصلة.

تعريف الموقع

نطاق المثيل الأول المستخدم بواسطة Azure Policy هو عند إنشاء تعريف نهج. يمكن حفظ التعريف إما في مجموعة إدارة أو اشتراك. يحدد الموقع النطاق الذي يمكن تعيين المبادرة أو السياسة إليه. يجب أن تكون الموارد ضمن التسلسل الهرمي للموارد لموقع التعريف لاستهداف التعيين.

إذا كان موقع التعريف هو:

• الاشتراك - يمكن تعيين تعريف السياسة للموارد داخل هذا الاشتراك فقط.
• مجموعة الإدارة - يمكن تعيين تعريف النهج فقط للموارد داخل مجموعات إدارة الأطفال والاشتراكات الفرعية. إذا كنت تخطط لتطبيق تعريف النهج على عدة اشتراكات، فيجب أن يكون الموقع الجغرافي مجموعة إدارة تحتوي على كل اشتراك.

يجب أن يكون الموقع هو حاوية الموارد المشتركة بين جميع الموارد التي تريد استخدام تعريف النهج عليها موجود. عادة ما تكون حاوية الموارد هذه مجموعة إدارة بالقرب من مجموعة إدارة الجذر.

نطاقات التعيين

يحتوي الواجب على العديد من الخصائص التي تحدد نطاقا. يحدد استخدام هذه الخصائص المورد المطلوب تقييمه لنهج Azure والموارد التي يتم احتسابها نحو الامتثال. هذه الخصائص تعيين إلى المفاهيم التالية:

• التضمين - يجب تقييم التسلسل الهرمي للموارد أو المورد الفردي للتأكد من امتثاله من خلال التعريف. تحدد الخاصية الموجودة على كائن مهمة ما يجب properties.scope تضمينه وتقييمه للامتثال. لمزيد من المعلومات، راجع تعريف المهمة.

• الاستبعاد - لا ينبغي تقييم التسلسل الهرمي للموارد أو المورد الفردي للتأكد من امتثاله من خلال التعريف. تحدد خاصية الصفيفproperties.notScopes على كائن مهمة ما يجب استبعاده. لا يتم تقييم الموارد ضمن هذه النطاقات أو تضمينها في عدد الامتثال. لمزيد من المعلومات، راجع تعريف المهمة - النطاقات المستبعدة.

بالإضافة إلى الخصائص الموجودة في تعيين النهج ، هو كائن إعفاء السياسة . تعزز الإعفاءات قصة النطاق من خلال توفير طريقة لتحديد جزء من المهمة التي لا يتم تقييمها.

• الإعفاء - يجب تقييم التسلسل الهرمي للموارد أو المورد الفردي للتأكد من امتثاله من خلال التعريف ، ولكن لن يتم تقييمه لسبب مثل وجود تنازل أو تخفيفه من خلال طريقة أخرى. تظهر الموارد في هذه الحالة على أنها معفاة في تقارير الامتثال بحيث يمكن تتبعها. يتم إنشاء كائن الإعفاء على التسلسل الهرمي للموارد أو المورد الفردي ككائن فرعي، والذي يحدد نطاق الإعفاء. يمكن إعفاء التسلسل الهرمي للموارد أو المورد الفردي من مهام متعددة. قد يتم تكوين الإعفاء لتنتهي صلاحيته وفقا لجدول زمني باستخدام الخاصية expiresOn . لمزيد من المعلومات، راجع تعريف الإعفاء.

  ملاحظة

  نظرا لتأثير منح إعفاء لتسلسل هرمي للموارد أو مورد فردي ، فإن الإعفاءات لها تدابير أمنية إضافية. بالإضافة إلى طلب Microsoft.Authorization/policyExemptions/write العملية على التسلسل الهرمي للموارد أو المورد الفردي ، يجب أن يكون لدى منشئ الإعفاء الفعل في exempt/Action التعيين المستهدف.

مقارنة النطاق

الجدول التالي هو مقارنة بين خيارات النطاق:

	ادراج	الاستبعاد (notScopes)	اعفاء
يتم تقييم الموارد	✔	-	-
كائن Resource Manager	-	-	✔
يتطلب تعديل كائن تعيين النهج	✔	✔	-

الخطوات التالية

• تعرف على بنية تعريف السياسة.
• فهم كيفية إنشاء السياسات برمجيا.
• تعرف على كيفية الحصول على بيانات الامتثال.
• تعرّف على كيفية معالجة الموارد غير الممتثلة.
• راجع ماهية مجموعة الإدارة باستخدام تنظيم مواردك باستخدام مجموعات إدارة Azure.