Az Azure Policy megfelelőségi állapotai
A megfelelőség működése
Kezdeményezés vagy szabályzatdefiníciók hozzárendelésekor az Azure Policy meghatározza, hogy mely erőforrások alkalmazhatók, majd kiértékeli azokat, amelyek nem lettek kizárva vagy mentesítve. Az értékelés megfelelőségi állapotokat eredményez a szabályzatszabály feltételei és az egyes erőforrások ezen követelményeknek való megfelelése alapján.
Elérhető megfelelőségi állapotok
Nem megfelelő
Az új, frissített vagy meglévő erőforrásokra vonatkozó , auditIfNotExistsvagy modify effektusokkal rendelkező auditházirend-hozzárendelések nem megfelelőnek minősülnek, ha a szabályzatszabály feltételei TRUE értékre vannak kiértékelve.
A , és deployIfNotExistsdenyeffektusokkal rendelkező appendházirend-hozzárendelések nem megfelelőnek minősülnek a meglévő erőforrások esetében, ha a szabályzatszabály feltételei TRUE értékre vannak kiértékelve. Az új és frissített erőforrásokat a rendszer kérésre automatikusan szervizeli vagy elutasítja a megfelelőség kényszerítése érdekében. Egy korábban nem megfelelő erőforrás frissítésekor a megfelelőségi állapot addig nem lesz megfelelő, amíg az erőforrás üzembe helyezése és a szabályzat kiértékelése be nem fejeződik.
Megjegyzés:
A DeployIfNotExist és az AuditIfNotExist effektus megköveteli, hogy az IF utasítás IGAZ legyen, a létezési feltétel pedig FAL Standard kiadás legyen, hogy ne legyen megfelelő. TRUE érték esetén az IF feltétel kiváltja a vonatkozó erőforrások létezési feltételének kiértékelését.
A effektusokkal rendelkező manual szabályzat-hozzárendelések két esetben nem megfelelőnek minősülnek:
- A szabályzatdefiníció alapértelmezett megfelelőségi állapota nem megfelelő, és a megfelelő erőforrás nem rendelkezik aktív igazolással .
- Az erőforrás nem megfelelőként lett tanúsítva.
Annak megállapításához, hogy az erőforrás miért nem megfelelő, vagy hogy a változás felelős-e, tekintse meg a meg nem felelés megállapítása című témakört. A nem megfelelő erőforrások és szabályzatok szervizeléséhez lásd: Nem megfelelő erőforrások szervizelése az Azure Policyval.modifydeployIfNotExists
Megfelelő
A , , audit, denydeployIfNotExistsauditIfNotExists, vagy modify effektusokkal rendelkező appendszabályzat-hozzárendelések megfelelnek az új, frissített vagy meglévő erőforrásoknak, amikor a szabályzatszabály feltételei FAL Standard kiadás értékre vannak kiértékelve.
A effektusokkal rendelkező manual szabályzat-hozzárendelések két esetben tekinthetők megfelelőnek:
- A szabályzatdefiníció alapértelmezett megfelelőségi állapottal rendelkezik, és nincs aktív igazolás az alkalmazandó erőforrásról, amely másként rendelkezik.
- Az erőforrás megfelelőnek lett tanúsítva.
Hiba
A hibamegfelelőségi állapotot olyan szabályzat-hozzárendelések adják meg, amelyek rendszerhibát, például sablont vagy kiértékelési hibát okoznak.
Ütköző
A szabályzat-hozzárendelések ütközőnek minősülnek, ha két vagy több szabályzat-hozzárendelés létezik ugyanabban a hatókörben, ellentmondó vagy ütköző szabályokkal. Például két definíció, amelyek ugyanazt a címkét különböző értékekkel fűzik össze.
Mentesített
Egy alkalmazható erőforrás megfelelőségi állapota kivételt képez egy szabályzat-hozzárendelés esetében, ha a kivétel hatókörébe tartozik.
Megjegyzés:
A kivétel eltér a kizárttól. További részletekért lásd a hatókört.
Unknown
Az ismeretlen az érvényes definíciók manual alapértelmezett megfelelőségi állapota, kivéve, ha az alapértelmezett beállítás kifejezetten megfelelő vagy nem megfelelő. Ez az állapot azt jelzi, hogy a megfelelőség igazolása indokolt. Ez a megfelelőségi állapot csak érvényes szabályzat-hozzárendelések manual esetén fordul elő.
Védett
A védett állapot azt jelzi, hogy az erőforrást megtagadási effektussal rendelkező hozzárendelés fedi le.
Nincs regisztrálva
Ez a megfelelőségi állapot akkor jelenik meg a portálon, ha az Azure Policy-erőforrás-szolgáltató nincs regisztrálva, vagy ha a bejelentkezett fiók nem rendelkezik jogosultsággal a megfelelőségi adatok olvasására.
Megjegyzés:
Ha a megfelelőségi állapot nincs regisztrálva, ellenőrizze, hogy a Microsoft.Policy Elemzések erőforrás-szolgáltató regisztrálva van-e, és hogy a felhasználó rendelkezik-e a megfelelő Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC) engedélyekkel az Azure RBAC-engedélyekben leírtak szerint az Azure Policyban. A Microsoft.Policy Elemzések regisztrálásához kövesse az alábbi lépéseket.
Nem kezdődött el
Ez a megfelelőségi állapot azt jelzi, hogy a kiértékelési ciklus nem indult el a szabályzat vagy az erőforrás esetében.
Example
Most, hogy megismerte a megfelelőségi állapotokat és azok jelentését, tekintsünk meg egy példát a megfelelő és nem megfelelő állapotok használatával.
Tegyük fel, hogy rendelkezik egy erőforráscsoporttal ( ContosoRG), amely néhány (pirossal kiemelt) tárfiókkal rendelkezik, amelyek nyilvános hálózatoknak vannak kitéve.
A Contoso R G erőforráscsoport öt tárfiókjának képeit bemutató ábra. Az egy és a három tárfiók kék, míg a kettő, a négy és az öt tárfiók piros.
Ebben a példában óvatosnak kell lennie a biztonsági kockázatokkal. Tegyük fel, hogy hozzárendel egy szabályzatdefiníciót, amely naplóz a nyilvános hálózatok számára elérhető tárfiókok esetében, és hogy a hozzárendeléshez nem jön létre kivétel. A szabályzat ellenőrzi a megfelelő erőforrásokat (amely magában foglalja a ContosoRG erőforráscsoport összes tárfiókját), majd kiértékeli azokat az erőforrásokat, amelyek nincsenek kizárva a kiértékelésből. Naplózhatja a nyilvános hálózatok számára közzétett három tárfiókot, és megfelelőségi állapotukat nem megfelelőre módosítja. A többi megfelelőként van megjelölve.
A Contoso R G erőforráscsoport öt tárfiókjának képeit bemutató ábra. Az egy és a három tárfiók alatt zöld pipa látható, míg a második, a negyedik és az öt tárfiók alatt piros figyelmeztető jelek jelennek meg.
Megfelelőségi összegző frissítés
A megfelelőségi állapot erőforrásonként, szabályzatonként van meghatározva. Gyakran azonban nagy képre van szükségünk a környezet állapotáról, ahol az összesített megfelelőség kerül előtérbe.
Az összesített megfelelőségi eredmények többféleképpen is megtekinthetők a portálon:
| Megfelelőségi nézet összesítése | Megfelelőségi állapotot meghatározó tényezők |
|---|---|
| Scope | A kijelölt hatókörben lévő összes szabályzat |
| Kezdeményezés | A kezdeményezés összes szabályzata |
| Kezdeményezési csoport vagy vezérlőelem | A csoporton vagy vezérlőelemen belüli összes szabályzat |
| Policy | Minden alkalmazható erőforrás |
| Resource | Minden alkalmazható szabályzat |
Különböző megfelelőségi állapotok összehasonlítása
Hogyan határozható meg tehát az összesített megfelelőségi állapot, ha több erőforrás vagy szabályzat is különböző megfelelőségi állapotokkal rendelkezik? Az Azure Policy rangsorolja az egyes megfelelőségi állapotokat, így ebben a helyzetben az egyik "nyer" a másik felett. A rangsor sorrendje a következő:
- Nem megfelelő
- Megfelelő
- Hiba
- Ütköző
- Védett (előzetes verzió)
- Mentesített
- Ismeretlen (előzetes verzió)
Megjegyzés:
A nem indult és nem regisztráltak nem szerepelnek a megfelelőségi összegző számításokban.
Ezzel a rangsorolással, ha vannak nem megfelelő és megfelelő állapotok is, akkor a összesített összesítés nem felel meg a követelményeknek, és így tovább. Lássunk egy példát:
Tegyük fel, hogy egy kezdeményezés 10 szabályzatot tartalmaz, és egy erőforrás mentesül egy szabályzat alól, de megfelel a fennmaradó kilencnek. Mivel a megfelelő állapotok magasabb rangot jelentenek, mint a mentesített állapotok, az erőforrás megfelelőként regisztrálná magát a kezdeményezés összegző összegzésében. Az erőforrás tehát csak akkor jelenik meg kivételként a teljes kezdeményezés esetében, ha a kezdeményezésben szereplő minden más alkalmazandó szabályzat alól mentesül, vagy annak ismeretlen a megfelelősége. A másik véglet az, hogy egy erőforrás, amely nem felel meg a kezdeményezésben szereplő legalább egy alkalmazandó szabályzatnak, a többi alkalmazandó szabályzattól függetlenül teljes megfelelőségi állapottal rendelkezik.
Megfelelőségi százalék
A megfelelőségi százalékot úgy határozzuk meg, hogy a Megfelelő, a Kivétel és az Ismeretlen erőforrásokat elosztja az összes erőforrással. Az összes erőforrás tartalmazza a Megfelelő, a Nem megfelelő, az Ismeretlen, a Kivétel, az Ütközés és a Hiba állapotú erőforrásokat.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
A képen 20 különböző erőforrás található, amelyek alkalmazhatók, és csak egy nem megfelelő. Az erőforrás teljes megfelelősége 95% (20-ból 19).
Következő lépések
- Útmutató a megfelelőségi adatok lekéréséhez
- Útmutató a meg nem felelés okainak meghatározásához
- Megfelelőségi adatok lekérése ARG-lekérdezésmintákon keresztül