Principy oboru v Azure Policy

Existuje mnoho nastavení, která určují, které prostředky se vyhodnocují a které prostředky se vyhodnocují pomocí Azure Policy. Primární koncept těchto ovládacích prvků je obor. Rozsah v Azure Policy je založený na tom, jak obor v Azure Resource Manager. Základní přehled najdete v tématu Obor v Azure Resource Manager. Tento článek vysvětluje důležitost oboru v Azure Policy a jedná se o související objekty a vlastnosti.

Umístění definice

První obor instance, který používá Azure Policy, je při vytvoření definice zásady. Definice může být uložena ve skupině pro správu nebo v předplatném. Umístění určuje rozsah, ke kterému je možné iniciativu nebo zásadu přiřadit. Prostředky musí být v hierarchii prostředků umístění definice, na které se má přiřazení cílit.

Pokud je umístění definice:

• Předplatné – Definici zásady je možné přiřadit pouze k prostředkům v rámci tohoto předplatného.
• Skupina pro správu – Definici zásady je možné přiřadit pouze prostředkům v podřízených skupinách pro správu a podřízených předplatných. Pokud plánujete použít definici zásady pro několik předplatných, umístěním musí být skupina pro správu, která obsahuje jednotlivá předplatná.

Umístěním by měl být kontejner prostředků sdílený všemi prostředky, u kterých chcete použít definici zásady. Tento kontejner prostředků je obvykle skupina pro správu v blízkosti kořenové skupiny pro správu.

Rozsahy přiřazení

Přiřazení má několik vlastností, které nastaví obor. Použití těchto vlastností určuje, který prostředek se má Azure Policy vyhodnotit a které prostředky se počítají do dodržování předpisů. Tyto vlastnosti se mapuje na následující koncepty:

• Zahrnutí – Definice by měla vyhodnocovat dodržování předpisů hierarchií prostředků nebo jednotlivých prostředků. Vlastnost properties.scope objektu přiřazení určuje, co se má zahrnout a vyhodnotit pro dodržování předpisů. Další informace najdete v tématu Definice přiřazení.

• Vyloučení – U hierarchie prostředků nebo jednotlivých prostředků by definice neměla vyhodnocovat dodržování předpisů. Vlastnost properties.notScopes pole objektu přiřazení určuje, co se má vyloučit. Prostředky v těchto oborech se nevyhodnocují ani nezahrnou do počtu dodržování předpisů. Další informace najdete v tématu Definice přiřazení – vyloučené obory.

Kromě vlastností přiřazení zásady je objekt výjimky zásad. Výjimky vylepšují scénář oboru tím, že poskytují metodu pro identifikaci části přiřazení, která se nemá vyhodnotit.

• Výjimka (bezplatná funkce ve verzi Preview) – U hierarchie prostředků nebo jednotlivých prostředků by definice měla vyhodnotit dodržování předpisů, ale nebude vyhodnocena z důvodu, jako je například neschádnutí nebo zmírnění jiným způsobem. Prostředky v tomto stavu se v sestavách dodržování předpisů zobrazují jako Vyloučené, aby je bylo možné sledovat. Objekt výjimky je vytvořen v hierarchii prostředků nebo jednotlivém prostředku jako podřízený objekt, který určuje rozsah výjimky. Hierarchii prostředků nebo jednotlivé prostředky je možné vyjmout z více přiřazení. Výjimka může být nakonfigurovaná tak, aby vyprší podle plánu pomocí expiresOn vlastnosti . Další informace najdete v tématu Definice výjimky.

  Poznámka

  Vzhledem k dopadu udělení výjimky pro hierarchii prostředků nebo jednotlivé prostředky mají výjimky další bezpečnostní opatření. Kromě vyžadování operace v hierarchii prostředků nebo jednotlivém prostředku musí mít tvůrce výjimky příkaz Microsoft.Authorization/policyExemptions/write exempt/Action pro cílové přiřazení.

Porovnání oborů

Následující tabulka obsahuje porovnání možností oboru:

Další kroky

• Přečtěte si o struktuře definic zásad.
• Naučte se programově vytvářet zásady.
• Zjistěte, jak získat data dodržování předpisů.
• Naučte se napravovat prostředky, které nedodržují předpisy.
• Informace o tom, co je skupina pro správu, můžete zkontrolovat pomocí nástroje Uspořádat prostředky pomocí skupin pro správu Azure.