Structure d’exemption Azure Policy

La fonctionnalité d’exemption Azure Policy (préversion) est utilisée pour exempter une hiérarchie de ressources ou une ressource individuelle de l’évaluation d’initiatives ou de définitions. Les ressources qui ne sont exemptes de pour la conformité globale, mais ne peuvent pas être évaluées ou comportent une dérogation temporaire. Pour plus d’informations, consultez Comprendre l’étendue d’Azure Policy. Les exemptions Azure Policy fonctionnent uniquement avec les modes de gestionnaire des ressources et ne fonctionnent pas avec modes de fournisseur de ressources.

Important

Cette fonctionnalité est gratuite pendant la préversion. Pour plus d’informations sur la tarification, consultez la tarification d’Azure Policy. Pour plus d’informations sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

Vous devez utiliser JSON pour créer une exemption de stratégie. L’exemption de stratégie contient des éléments pour :

  • le nom d’affichage
  • description
  • metadata
  • attribution de stratégie
  • définitions de stratégie dans une initiative
  • catégorie d'exemption
  • expiration

Notes

Une exemption de stratégie est créée en tant qu’objet enfant sur la hiérarchie de ressources ou la ressource individuelle a accordé l’exemption, donc la cible n’est pas incluse dans la définition d’exemption.

Par exemple, le code JSON suivant montre une exemption de stratégie dans la catégorie dispenser d’une ressource à une affectation d’initiative nommée resourceShouldBeCompliantInit. La ressource est exempte des deux seules définitions de stratégie de l’initiative, la customOrgPolicydéfinition de stratégie personnalisée (référencerequiredTags) et la définition de stratégie intégrée « emplacements autorisés » (ID : e56962a6-4747-49cd-b67b-bf8b01975c4c, allowedLocationsde référence) :

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

Extrait de l’initiative associée avec le policyDefinitionReferenceIds correspondant utilisé par l’exemption de stratégie :

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Nom d’affichage et description

Vous utilisez displayName et description pour identifier l’exemption de stratégie et fournir un contexte pour son utilisation avec la ressource spécifique. displayName a une longueur maximale de 128 caractères et description a une longueur maximale de 512 caractères.

Métadonnées

La propriété métadonnées permet de créer n’importe quelle propriété enfant nécessaire pour stocker des informations pertinentes. Dans l’exemple ci-dessus, les propriétés requestedBy, approvedBy, approvedOn et ticketRef contiennent des valeurs client pour fournir des informations sur les personnes qui ont demandé l’exemption, qui l’a approuvée et le moment, et un ticket de suivi interne pour la demande. Ces propriétés de métadonnées sont des exemples, mais elles ne sont pas obligatoires et les métadonnées ne sont pas limitées à ces propriétés enfants.

ID d'attribution de stratégie

Ce champ correspond au nom du chemin complet d’une attribution de stratégie ou d’une attribution d’initiative. policyAssignmentId est une chaîne et non un tableau. Cette propriété définit l’affectation à partir de laquelle la hiérarchie de ressources parente ou la ressource individuelle est exemptée.

ID de définition de stratégie

Si le policyAssignmentId concerne une attribution d’initiative, la propriété policyDefinitionReferenceIds peut être utilisée pour spécifier la ou les définitions de stratégie de l’initiative à laquelle la ressource objet a une exemption. Comme la ressource peut être exemptée d’une ou de plusieurs définitions de stratégie incluses, cette propriété est un tableau. Les valeurs doivent correspondre aux valeurs de la définition d’initiative dans les policyDefinitions.policyDefinitionReferenceIdchamps.

Catégorie d’exemption

Deux catégories d’exemption existent et sont utilisées pour regrouper les exemptions :

  • Atténuées : L’exemption est accordée parce que l’intention de stratégie est satisfaite par une autre méthode.
  • Renonciation : L’exemption est accordée car l’état de non-conformité de la ressource est provisoirement accepté. Une autre raison de l’utilisation de cette catégorie est pour une ressource ou une hiérarchie de ressources qui doit être exclue d’une ou de plusieurs définitions dans une initiative, mais ne doit pas être exclue de l’initiative entière.

Expiration

Pour définir à quel moment une hiérarchie des ressources ou une ressource individuelle n’est plus exemptée d’affectation, définissez la propriété expiresOn. Cette propriété facultative doit être au format dateHeure ISO 8601 yyyy-MM-ddTHH:mm:ss.fffffffZ.

Notes

Les exemptions de stratégie ne sont pas supprimées lorsque la expiresOn date est atteinte. L’objet est conservé pour la conservation des enregistrements, mais l’exemption n’est plus honorée.

Autorisations requises

Les autorisations Azure RBAC nécessaires pour gérer les objets d’exemption de stratégie se trouvent dans le Microsoft.Authorization/policyExemptionsgroupe d’opérations. Les rôles intégrés de collaborateur de stratégie de ressource et d’administrateur de la sécurité disposent des autorisations read et write l’enregistreur de données Policy Insights (préversion) dispose de l’autorisation read.

Les exemptions ont des mesures de sécurité supplémentaires en raison de l’impact de l’octroi d’une exemption. Au-delà de la nécessité de l’Microsoft.Authorization/policyExemptions/writeopération sur la hiérarchie de ressources ou une ressource individuelle, le créateur d’une exemption doit avoir le verbe exempt/Action sur l’affectation cible.

Étapes suivantes