Azure Policy výjimky

Funkce Azure Policy výjimek (Preview) slouží k vyjmutí hierarchie prostředků nebo jednotlivých prostředků z vyhodnocení iniciativ nebo definic. Prostředky, které jsou vyloučené, se započítují do celkového dodržování předpisů, ale nevyhodnocují se ani nemají dočasné problémy. Další informace najdete v tématu Principy oboru v Azure Policy. Azure Policy výjimky fungují jenom s Resource Manager režimy a nefungují s režimy poskytovatele prostředků.

K vytvoření výjimky ze zásad použijete JSON. Výjimka ze zásad obsahuje prvky pro:

• zobrazovaný název
• description
• zprostředkovatele identity
• přiřazení zásad
• definice zásad v rámci iniciativy
• kategorie výjimky
• Vypršení platnosti

Například následující KÓD JSON ukazuje výjimku ze zásad v kategorii výjimky prostředku k přiřazení iniciativy s názvem resourceShouldBeCompliantInit . Prostředek je vyloučený jenom ze dvou definic zásad v iniciativě, definice vlastní zásady (odkaz ) a integrované definice zásad Povolené lokality customOrgPolicy requiredTags (ID: e56962a6-4747-49cd-b67b-bf8b01975c4c , reference allowedLocations ):

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

Fragment související iniciativy s policyDefinitionReferenceIds odpovídajícími výrazy používanými výjimkou ze zásad:

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Zobrazovaný název a popis

Pomocí displayName a description identifikujete výjimku ze zásad a poskytnete kontext pro její použití s konkrétním zdrojem. DisplayName má maximální délku 128 znaků a popis má maximální délku 512 znaků.

Metadata

Vlastnost metadat umožňuje vytvořit všechny podřízené vlastnosti potřebné k ukládání relevantních informací. V příkladu výše vlastnosti requestedBy, approvedBy, approvedOn a ticketRef obsahují hodnoty zákazníků, které poskytují informace o tom, kdo požádal o výjimku, kdo ji schválil a kdy, a interní lístek pro sledování žádosti. Tyto vlastnosti metadat jsou příklady, ale nejsou povinné a metadata nejsou omezena na tyto podřízené vlastnosti.

ID přiřazení zásad

Toto pole musí být úplný název cesty přiřazení zásady nebo iniciativy. policyAssignmentId je řetězec, nikoli pole. Tato vlastnost definuje, z kterého přiřazení je vyloučena hierarchie nadřazených prostředků nebo jednotlivých prostředků.

ID definic zásad

Pokud je pro přiřazení iniciativy, vlastnost se může použít k určení definic zásad v iniciativě, pro kterou má předmět policyAssignmentId policyDefinitionReferenceIds prostředku výjimku. Vzhledem k tomu, že prostředek může být vyloučen z jedné nebo více definic zahrnutých zásad, je tato vlastnost pole. Hodnoty musí odpovídat hodnotám v definici iniciativy v policyDefinitions.policyDefinitionReferenceId polích.

Kategorie výjimky

Existují dvě kategorie výjimek, které slouží k seskupení výjimek:

• Zmírněno: Výjimka je udělena, protože záměr zásady je splněn jiným způsobem.
• Vyhovění: Výjimka je udělena, protože stav nedodržování předpisů prostředku je dočasně přijat. Dalším důvodem použití této kategorie je hierarchie prostředků nebo prostředků, které by měly být vyloučeny z jedné nebo více definic v rámci iniciativy, ale neměly by být vyloučeny z celé iniciativy.

Konec platnosti

Pokud chcete nastavit, kdy už hierarchie prostředků nebo jednotlivý prostředek nejsou z přiřazení vyloučené, nastavte expiresOn vlastnost . Tato volitelná vlastnost musí být ve formátu Universal ISO 8601 DateTime yyyy-MM-ddTHH:mm:ss.fffffffZ .

Požadovaná oprávnění

Oprávnění Azure RBAC potřebná ke správě objektů výjimky zásad jsou ve Microsoft.Authorization/policyExemptions skupině operací. Předdefinované role Přispěvatel zásad prostředků a Správce zabezpečení mají oprávnění i a oprávnění policy Přehledy Data read Writer write (Preview). read

Výjimky mají kvůli dopadu udělení výjimky další bezpečnostní opatření. Kromě Microsoft.Authorization/policyExemptions/write vyžadování operace v hierarchii prostředků nebo jednotlivém prostředku musí mít tvůrce výjimky příkaz exempt/Action pro cílové přiřazení.

Další kroky

• Přečtěte si o struktuře definic zásad.
• Naučte se programově vytvářet zásady.
• Zjistěte, jak získat data dodržování předpisů.
• Naučte se napravovat prostředky, které nedodržují předpisy.
• Informace o tom, co je skupina pro správu, můžete zkontrolovat pomocí nástroje Uspořádat prostředky pomocí skupin pro správu Azure.