Descripción del ámbito en Azure Policy

Hay muchos valores que determinan qué recursos se pueden evaluar y qué recursos se evalúan mediante Azure Policy. El concepto principal de estos controles es el ámbito. El ámbito de Azure Policy se basa en cómo funciona el ámbito en Azure Resource Manager. Para obtener información general, consulte Ámbito en Azure Resource Manager. En este artículo se explica la importancia del ámbito en Azure Policy, así como sus objetos y propiedades relacionados.

Ubicación de definición

Azure Policy usa el primer ámbito de instancia cuando se crea una definición de directiva. La definición se puede guardar en un grupo de administración o una suscripción. La ubicación determina el ámbito al que pueden asignarse la directiva o la iniciativa. Los recursos deben estar dentro de la jerarquía de recursos de la ubicación de la definición para que puedan ser objetivo de la asignación.

Si la ubicación de la definición es:

  • Suscripción: la definición de la directiva solo se puede asignar a los recursos incluidos dentro de esa suscripción.
  • Grupo de administración: la definición de la directiva solo se puede asignar a los recursos incluidos dentro de grupos de administración secundarios y suscripciones secundarias. Si planea aplicar la definición de directiva a varias suscripciones, la ubicación debe ser un grupo de administración que contenga esas suscripciones.

La ubicación debe ser el contenedor de recursos compartido por todos los recursos en los que desee usar la definición de directiva. Este contenedor de recursos suele ser un grupo de administración próximo al grupo de administración raíz.

Ámbitos de asignación

Una asignación tiene varias propiedades que establecen un ámbito. El uso de estas propiedades determina qué recursos de Azure Policy se evalúan y cuáles cuentan para el cumplimiento. Estas propiedades se corresponden con los conceptos siguientes:

  • Inclusión: la definición debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual. La propiedad properties.scope de un objeto de asignación determina qué se va a incluir y evaluar en términos de cumplimiento. Para obtener más información, consulte Definición de asignación.

  • Exclusión: la definición no debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual. La propiedad properties.notScopes de la matriz de un objeto de asignación determina qué se excluye. Los recursos incluidos en esos ámbitos no se evalúan ni se incluyen en el recuento de cumplimiento. Para obtener más información, consulte Definición de asignación: ámbitos excluidos.

Además de las propiedades de la asignación de directiva, es el objeto de exención de directiva. Las exenciones mejoran la historia del ámbito proporcionando un método para identificar una parte de una asignación que no se va a evaluar.

  • Exención (gratis en la característica en versión preliminar): la definición debe evaluar el cumplimiento de una jerarquía de recursos o de un recurso individual, pero no lo hará si hay motivos como tener una exención o ser mitigado por otro método. Los recursos con este estado se muestran como Exentos en los informes de cumplimiento, para que se pueda realizar el seguimiento. El objeto de exención se crea en la jerarquía de recursos o en el recurso individual como un objeto secundario, que determina el ámbito de la exención. Una jerarquía de recursos o un recurso individual pueden estar exentos de varias asignaciones. La exención puede configurarse para que expire según una programación mediante la propiedad expiresOn. Para obtener más información, consulte Definición de exención.

    Nota

    Debido al impacto que supone conceder una exención para una jerarquía de recursos o un recurso individual, las exenciones tienen medidas de seguridad adicionales. Además de exigir la operación Microsoft.Authorization/policyExemptions/write en la jerarquía de recursos o en el recurso individual, el creador de una exención debe tener el verbo exempt/Action en la asignación de destino.

Comparación de ámbitos

En la tabla siguiente se presenta una comparación de las opciones de ámbito:

Inclusión Exclusión (notScopes) Exención
Los recursos se evalúan - -
Objeto de Resource Manager - -
Requiere la modificación del objeto de asignación de directiva -

Pasos siguientes