Az Azure Policy definíciós struktúrájának alapjai

  • Cikk

Az Azure Policy-definíciók ismertetik az erőforrás-megfelelőségi feltételeket , és azt, hogy milyen hatással lehet egy feltétel teljesülése esetén. A feltétel összehasonlítja egy erőforrás-tulajdonság mezőjét vagy értékét egy kötelező értékkel. Az erőforrástulajdonság-mezőkhöz való hozzáférés aliasokkal történik. Ha az erőforrástulajdonság-mező egy tömb, egy különleges tömbaliasszal kiválaszthatja az értékeket a tömb összes tagjából, és mindegyikre alkalmazhat egy feltételt. További információ a feltételekről.

A szabályzat-hozzárendelések használatával szabályozhatja a költségeket, és kezelheti az erőforrásokat. Megadhatja például, hogy csak bizonyos típusú virtuális gépek engedélyezettek legyenek. Vagy megkövetelheti, hogy az erőforrások egy adott címkével rendelkezzenek. A hatókörhöz tartozó hozzárendelések az adott hatókörben és az alatt található összes erőforrásra vonatkoznak. Ha egy szabályzat-hozzárendelést egy erőforráscsoportra alkalmaz, akkor a hozzárendelés az adott erőforráscsoporton belüli összes erőforrásra érvényes lesz.

A JSON használatával olyan szabályzatdefiníciót hozhat létre, amely a következő elemeket tartalmazza:

  • displayName
  • description
  • mode
  • metadata
  • parameters
  • policyRule
    • logikai értékelések
    • effect

Az alábbi JSON például egy olyan szabályzatot mutat be, amely korlátozza az erőforrások üzembe helyezését:

{
  "properties": {
    "displayName": "Allowed locations",
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
    "mode": "Indexed",
    "metadata": {
      "version": "1.0.0",
      "category": "Locations"
    },
    "parameters": {
      "allowedLocations": {
        "type": "array",
        "metadata": {
          "description": "The list of locations that can be specified when deploying resources",
          "strongType": "location",
          "displayName": "Allowed locations"
        },
        "defaultValue": [
          "westus2"
        ]
      }
    },
    "policyRule": {
      "if": {
        "not": {
          "field": "location",
          "in": "[parameters('allowedLocations')]"
        }
      },
      "then": {
        "effect": "deny"
      }
    }
  }
}

További információ: szabályzatdefiníciós séma. Az Azure Policy beépített és mintái az Azure Policy-mintákban találhatók.

Megjelenített név és leírás

A szabályzatdefiníciót használja displayName és description azonosítja, és kontextust biztosít a definíció használatakor. A legfeljebb 128 karakter hosszúságú és description legfeljebb 512 karakter hosszúságú.displayName

Feljegyzés

A szabályzatdefiníció idtypename létrehozása vagy frissítése során a JSON-fájlon kívüli tulajdonságok határozzák meg, és nem szükségesek a JSON-fájlban. A szabályzatdefiníció SDK-val történő beolvasása a JSON részeként adja vissza a id, typeés name a tulajdonságokat, de mindegyik csak olvasható információ a szabályzatdefinícióhoz kapcsolódóan.

Házirend típusa

Bár a policyType tulajdonság nem állítható be, az SDK három értéket ad vissza, és látható a portálon:

  • Builtin: A Microsoft ezeket a szabályzatdefiníciókat biztosítja és tartja karban.
  • Custom: Az ügyfelek által létrehozott összes szabályzatdefiníció rendelkezik ezzel az értékkel.
  • Static: A Microsoft tulajdonosi jogával rendelkező szabályozási megfelelőségi szabályzat definícióját jelzi. A szabályzatdefiníciók megfelelőségi eredményei a Microsoft-infrastruktúra Nem Microsoft-auditjainak eredményei. Az Azure Portalon ez az érték néha a Microsoft által felügyeltként jelenik meg. További információ: Megosztott felelősség a felhőben.

Mód

A mode beállítás attól függően van konfigurálva, hogy a szabályzat egy Azure Resource Manager-tulajdonságot vagy erőforrás-szolgáltatói tulajdonságot céloz meg.

Resource Manager-módok

Ez mode határozza meg, hogy mely erőforrástípusokat értékeli ki a rendszer egy szabályzatdefinícióhoz. A támogatott módok a következők:

  • all: erőforráscsoportok, előfizetések és minden erőforrástípus kiértékelése
  • indexed: csak a címkéket és helyet támogató erőforrástípusok kiértékelése

Az erőforrás Microsoft.Network/routeTables például támogatja a címkéket és a helyet, és mindkét módban kiértékelésre kerül. Az erőforrás Microsoft.Network/routeTables/routes azonban nem címkézhető fel, és nem értékelhető Indexed ki módban.

Javasoljuk, hogy a legtöbb esetben állítsa be az all értéketmode. A portálon létrehozott összes szabályzatdefiníció a all módot használja. Ha a PowerShellt vagy az Azure CLI-t használja, manuálisan is megadhatja a paramétert mode . Ha a szabályzatdefiníció nem tartalmaz mode értéket, az alapértelmezés szerint all az Azure PowerShellben és az null Azure CLI-ben történik. A null mód ugyanaz, mint indexed a visszamenőleges kompatibilitás támogatása.

indexed címkéket vagy helyeket kényszerítő szabályzatok létrehozásakor kell használni. Bár nem kötelező, megakadályozza, hogy a címkéket és helyeket nem támogató erőforrások nem megfelelőként jelenjenek meg a megfelelőségi eredményekben. Kivételt képeznek az erőforráscsoportok és az előfizetések. Az erőforráscsoporton vagy -előfizetésen helyet vagy címkéket kényszerítő szabályzatdefinícióknak az adott erőforráscsoportra vagy előfizetésre kell beállítaniuk a helyet vagy címkéket, és meg kell célozni modeall a típust vagy Microsoft.Resources/subscriptions a típustMicrosoft.Resources/subscriptions/resourceGroups. Példa: Minta: Címkék – 1. minta. A címkéket támogató erőforrások listáját az Azure-erőforrások címketámogatása című témakörben találja.

Erőforrás-szolgáltatói módok

A következő erőforrás-szolgáltatói módok teljes mértékben támogatottak:

Az alábbi erőforrás-szolgáltatói módok jelenleg előzetes verzióként támogatottak:

  • Microsoft.ManagedHSM.Datafelügyelt hardveres biztonsági modul (HSM) kulcsainak kezeléséhez az Azure Policy használatával.
  • Microsoft.DataFactory.Data az Azure Policy használatával tiltsa le az Azure Data Factory azon kimenő adatforgalmi tartományneveket, amelyek nincsenek megadva egy engedélyezési listán. Ez az erőforrás-szolgáltató mód csak kényszerítés, és nem jelenti a megfelelőséget nyilvános előzetes verzióban.
  • Microsoft.MachineLearningServices.v2.DataAz Azure Machine Tanulás modellek üzembe helyezésének kezeléséhez. Ez az erőforrás-szolgáltató mód az újonnan létrehozott és frissített összetevők megfelelőségét jelenti. A nyilvános előzetes verzióban a megfelelőségi rekordok 24 órán át maradnak. A szabályzatdefiníciók hozzárendelése előtt meglévő modelltelepítések nem jelentik a megfelelőséget.

Feljegyzés

Ha nincs explicit módon megadva, az erőforrás-szolgáltatói módok csak a beépített szabályzatdefiníciókat támogatják, és a kivételek nem támogatottak az összetevő szintjén.

Metaadatok

Az opcionális metadata tulajdonság a szabályzatdefinícióval kapcsolatos információkat tárolja. Az ügyfelek a szervezet számára hasznos tulajdonságokat és értékeket definiálhatják a következő helyen metadata: . Az Azure Policy és a beépített szolgáltatások azonban gyakran használnak tulajdonságokat. Minden metadata tulajdonság legfeljebb 1024 karakter hosszúságú lehet.

Gyakori metaadat-tulajdonságok

  • version (sztring): Nyomon követi a szabályzatdefiníció tartalmának verziójával kapcsolatos részleteket.
  • category (sztring): Meghatározza, hogy az Azure Portal melyik kategóriájában jelenjen meg a szabályzatdefiníció.
  • preview (logikai): Igaz vagy hamis jelölő, ha a szabályzatdefiníció előzetes verziójú.
  • deprecated (logikai): Igaz vagy hamis jelölő arra az esetre, ha a szabályzatdefiníció elavultként van megjelölve.
  • portalReview (sztring): Meghatározza, hogy a paramétereket a szükséges bemenettől függetlenül felül kell-e vizsgálni a portálon.

Feljegyzés

Az Azure Policy szolgáltatás a , previewés deprecated tulajdonságok használatával versionközvetíti a változás szintjét egy beépített szabályzatdefinícióra vagy kezdeményezésre és állapotra. A formátum a version következő: {Major}.{Minor}.{Patch}. Bizonyos állapotok, például elavult vagy előzetes verzió, logikai értékként vannak hozzáfűzve a version tulajdonsághoz vagy egy másik tulajdonsághoz. Az Azure Policy beépített verzióival kapcsolatos további információkért lásd a beépített verziószámozást. Ha többet szeretne megtudni arról, hogy mit jelent a szabályzatok elavult vagy előzetes verzióban való használata, tekintse meg az előzetes verziót és az elavult szabályzatokat.

Definíció helye

Kezdeményezés vagy szabályzat létrehozásakor meg kell adni a definíció helyét. A definíció helyének felügyeleti csoportnak vagy előfizetésnek kell lennie. Ez a hely határozza meg azt a hatókört, amelyhez a kezdeményezés vagy szabályzat hozzárendelhető. Az erőforrásoknak a hozzárendeléshez megcélzott definícióhely hierarchiájának közvetlen tagjainak vagy gyermekeinek kell lenniük.

Ha a definíció helye a következő:

  • Előfizetés – Csak az előfizetésen belüli erőforrások rendelhetők hozzá a szabályzatdefinícióhoz.
  • Felügyeleti csoport – Csak a gyermekfelügyeleti csoportokon és gyermek-előfizetéseken belüli erőforrások rendelhetők hozzá a szabályzatdefinícióhoz. Ha több előfizetésre szeretné alkalmazni a szabályzatdefiníciót, a helynek egy olyan felügyeleti csoportnak kell lennie, amely minden előfizetést tartalmaz.

További információért lásd: Az Azure Policy hatóköreinek megismerése.

Következő lépések