Az Azure Policy hatókörének ismertetése
Számos beállítás határozza meg, hogy mely erőforrásokat lehet kiértékelni, és mely erőforrásokat értékeli ki az Azure Policy. Ezeknek a vezérlőknek az elsődleges fogalma a hatókör. Az Azure Policy hatóköre az Azure Resource Manager hatókörének működésén alapul. A magas szintű áttekintésért tekintse meg az Azure Resource Manager hatókörét.
Ez a cikk az Azure Policy hatókörének fontosságát, valamint a kapcsolódó objektumokat és tulajdonságokat ismerteti.
Definíció helye
Az Azure Policy által használt első példány hatóköre egy szabályzatdefiníció létrehozása. A definíció felügyeleti csoportban vagy előfizetésben menthető. A hely határozza meg azt a hatókört, amelyhez a kezdeményezés vagy szabályzat hozzárendelhető. Az erőforrásoknak a hozzárendeléshez megcélzott definíció helyének erőforráshierarchián belül kell lenniük. Az Azure Policy által érintett erőforrások a szabályzatok kiértékelésének módját ismertetik.
Ha a definíció helye a következő:
- Előfizetés – Az előfizetés, amelyben a szabályzat definiálva van, és az előfizetésen belüli erőforrások hozzárendelhetők a szabályzatdefinícióhoz.
- Felügyeleti csoport – Az a felügyeleti csoport, amelyben a szabályzat definiálva van, és a gyermekfelügyeleti csoportokon és gyermek-előfizetéseken belüli erőforrások hozzárendelhetők a szabályzatdefinícióhoz. Ha több előfizetésre szeretné alkalmazni a szabályzatdefiníciót, a helynek egy olyan felügyeleti csoportnak kell lennie, amely minden előfizetést tartalmaz.
A helynek az erőforrástárolónak kell lennie, amelyet minden olyan erőforrás megosztott, amelyen a szabályzatdefiníciót használni szeretné. Ez az erőforrástároló általában egy felügyeleti csoport a gyökérszintű felügyeleti csoport közelében.
Hozzárendelési hatókörök
A hozzárendelések több tulajdonsággal rendelkeznek, amelyek hatókört határoznak meg. Ezeknek a tulajdonságoknak a használata határozza meg, hogy az Azure Policy melyik erőforrását kell kiértékelni, és mely erőforrások számítanak a megfelelőség felé. Ezek a tulajdonságok a következő fogalmakra vannak megfeleltetve:
Belefoglalás – Az erőforráshierarchiát vagy az egyes erőforrásokat a definíciónak megfelelően kell kiértékelni. A
properties.scopehozzárendelési objektum tulajdonsága határozza meg, hogy mit tartalmazzon és értékeljen ki a megfelelőség szempontjából. További információ: Hozzárendelés definíciója.Kizárás – Az erőforráshierarchiát vagy az egyes erőforrásokat nem kell a definíciónak megfelelőnek minősíteni. A
properties.notScopeshozzárendelési objektum tömbtulajdonságai határozzák meg, hogy mit kell kizárni. Az ezeken a hatókörökön belüli erőforrásokat nem értékeli ki vagy nem tartalmazza a megfelelőségi szám. További információ: Hozzárendelésdefiníció – kizárt hatókörök.
A szabályzat-hozzárendelés tulajdonságai mellett a szabályzat kivételi objektuma is. A kivételek növelik a hatókör-történetet azáltal, hogy egy olyan módszert biztosítanak, amely azonosítja a nem értékelendő hozzárendelés egy részét.
Kivétel – Az erőforráshierarchiát vagy az egyes erőforrásokat a definíciónak megfelelően kell kiértékelni, de nem lehet kiértékelni olyan okból, mint például a lemondás vagy a más módszerrel történő enyhítés. Az ebben az állapotban lévő erőforrások kivételként jelennek meg a megfelelőségi jelentésekben, így nyomon követhetők. A kivételobjektum gyermekobjektumként jön létre az erőforráshierarchiában vagy az egyéni erőforrásban, amely meghatározza a kivétel hatókörét. Egy erőforráshierarchia vagy egy erőforrás több hozzárendelés alól is mentesíthető. A kivétel konfigurálható úgy, hogy a tulajdonság használatával
expiresOnütemezés szerint lejárjon. További információ: Kivételdefiníció.Feljegyzés
Az erőforráshierarchia vagy az egyes erőforrások kivételének hatása miatt a kivételek további biztonsági intézkedésekkel rendelkeznek. Az erőforráshierarchia vagy az egyéni erőforrás műveletének megkövetelése
Microsoft.Authorization/policyExemptions/writemellett a kivétel létrehozójának rendelkeznie kell aexempt/Actioncélhozzárendelésre vonatkozó igével.
Hatókör összehasonlítása
Az alábbi táblázat a hatókör beállításainak összehasonlítását tartalmazza:
| Felvétel | Kizárás (notScopes) | Mentesség | |
|---|---|---|---|
| Az erőforrások kiértékelése | ✔ | - | - |
| Resource Manager-objektum | - | - | ✔ |
| Szabályzat-hozzárendelési objektum módosítására van szükség | ✔ | ✔ | - |
Tehát hogyan dönti el, hogy kizárást vagy kivételt használ- e? Általában a kizárásokat javasoljuk, hogy véglegesen megkerüljék a kiértékelést egy olyan széles hatókör esetében, mint például egy olyan tesztkörnyezet, amely nem igényel azonos szintű irányítást. A kivételeket olyan, időhöz kötött vagy konkrétabb forgatókönyvekhez javasoljuk, ahol egy erőforrást vagy erőforráshierarchiát továbbra is nyomon kell követni, és más módon is értékelni kellene, de van egy konkrét oka annak, hogy nem kell a megfelelőséget értékelni.
Következő lépések
- Ismerje meg a szabályzatdefiníció struktúráját.
- Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
- Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
- Tekintse át, hogy mi az a felügyeleti csoport az erőforrások azure-beli felügyeleti csoportokkal való rendszerezésével.