Azure Policy의 범위 이해

평가할 수 있는 리소스와 Azure Policy에 의해 평가되는 리소스를 결정하는 여러 설정이 있습니다. 이러한 컨트롤에 대한 기본 개념은 범위 입니다. Azure Policy의 범위는 Azure Resource Manager에서 범위가 작동하는 방식을 기반으로 합니다. 고급 개요는 Azure Resource Manager의 범위를 참조하세요. 이 문서에서는 Azure Policy의 범위 의 중요성과 관련 개체 및 속성을 설명합니다.

정의 위치

Azure Policy에서 사용하는 첫 번째 인스턴스 범위는 정책 정의를 만들 때입니다. 정의는 관리 그룹 또는 구독 중 하나에 저장될 수 있습니다. 해당 위치는 이니셔티브 또는 정책을 할당할 수 있는 범위를 결정합니다. 리소스는 할당 대상으로 지정할 정의 위치의 계층 구조 내에 있어야 합니다.

정의 위치는 다음과 같습니다.

  • 구독 - 해당 구독 내의 리소스만 정책 정의에 할당할 수 있습니다.
  • 관리 그룹 - 자식 관리 그룹과 자식 구독 내의 리소스만 정책 정의에 할당할 수 있습니다. 정책 정의를 여러 구독에 적용하려는 경우 위치는 각 구독이 포함된 관리 그룹이어야 합니다.

위치는 정책 정의를 사용하려는 모든 리소스에서 공유하는 리소스 컨테이너여야 합니다. 해당 리소스 컨테이너는 일반적으로 루트 관리 그룹 근처의 관리 그룹입니다.

할당 범위

할당에는 범위를 설정하는 몇 가지 속성이 있습니다. 이러한 속성을 사용하여 평가할 Azure Policy 리소스와 규정 준수에 중요한 리소스가 무엇인지 결정합니다. 이러한 속성은 다음 개념에 매핑됩니다.

  • 포함 - 정의에 따라 리소스 계층 또는 개별 리소스의 규정 준수를 평가해야 합니다. 할당 개체의 properties.scope 속성은 규정 준수에 포함하고 평가할 항목을 결정합니다. 자세한 내용은 할당 정의를 참조하세요.

  • 제외 - 정의에 따라 리소스 계층 또는 개별 리소스는 규정 준수를 평가하지 않아야 합니다. 할당 개체의 properties.notScopes 배열 속성은 제외할 항목을 결정합니다. 이러한 범위 내의 리소스는 평가되거나 규정 준수 개수에 포함되지 않습니다. 자세한 내용은 할당 정의 - 제외된 범위를 참조하세요.

정책 할당의 속성 이외에도 정책 예외 개체가 있습니다. 예외는 평가하지 않을 할당의 일부를 식별하는 방법을 제공하여 범위 스토리를 개선합니다.

  • 예외(미리 보기 평가판 기능) - 리소스 계층 또는 개별 리소스는 정의에 따라 규정 준수를 평가해야 하지만 면제되었거나 다른 방법을 통해 완화되는 등의 이유로 평가되지 않습니다. 이 상태의 리소스는 추적할 수 있도록 규정 준수 보고서에 제외 된 것으로 표시됩니다. 예외 개체는 리소스 계층 구조 또는 개별 리소스에 대해 자식 개체로 만들어지며 예외 범위를 결정합니다. 리소스 계층 또는 개별 리소스는 여러 할당에서 제외될 수 있습니다. 예외는 expiresOn 속성을 사용하여 일정에 따라 만료되도록 구성할 수 있습니다. 자세한 내용은 예외 정의를 참조하세요.

    참고

    리소스 계층 또는 개별 리소스에 대한 예외 부여에 따른 영향으로 인해 예외에는 추가 보안 조치가 있습니다. 리소스 계층 또는 개별 리소스에 대한 Microsoft.Authorization/policyExemptions/write 작업을 요구하는 것 이외에도 예외 작성자에게는 대상 할당에 대한 exempt/Action 동사가 있어야 합니다.

범위 비교

다음 표는 범위 옵션에 대한 비교를 보여 줍니다.

포함 제외(notScopes) 예외
리소스가 평가됨 - -
Resource Manager 개체 - -
정책 할당 개체를 수정해야 함 -

다음 단계