Azure Policy이란?What is Azure Policy?

Azure Policy를 사용하면 조직의 표준을 적용하고 규정 준수를 규모에 맞게 평가할 수 있습니다.Azure Policy helps to enforce organizational standards and to assess compliance at-scale. 리소스별 정책별 세분성으로 드릴다운할 수 있는 기능을 사용하여 환경의 전체 상태를 평가할 수 있는 집계된 보기가 규정 준수 대시보드를 통해 제공됩니다.Through its compliance dashboard, it provides an aggregated view to evaluate the overall state of the environment, with the ability to drill down to the per-resource, per-policy granularity. 또한 기존 리소스에 대한 대량 수정 및 새 리소스에 대한 자동 수정을 통해 리소스를 규정 준수 상태로 전환할 수 있습니다.It also helps to bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources.

Azure Policy에 대한 일반적인 사용 사례에는 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스 구현이 포함됩니다.Common use cases for Azure Policy include implementing governance for resource consistency, regulatory compliance, security, cost, and management. 이러한 일반적인 사용 사례에 대한 정책 정의는 Azure 환경에서 이미 기본 제공 기능으로 사용할 수 있으므로 시작하는 데 도움이 됩니다.Policy definitions for these common use cases are already available in your Azure environment as built-ins to help you get started.

모든 Azure Policy 데이터와 개체는 미사용 시 암호화됩니다.All Azure Policy data and objects are encrypted at rest. 자세한 내용은 미사용 Azure 데이터 암호화를 참조하세요.For more information, see Azure data encryption at rest.

개요Overview

Azure Policy는 해당 리소스의 속성을 비즈니스 규칙과 비교하여 Azure의 리소스를 평가합니다.Azure Policy evaluates resources in Azure by comparing the properties of those resources to business rules. JSON 형식에서 설명하는 이러한 비즈니스 규칙을 정책 정의라고 합니다.These business rules, described in JSON format, are known as policy definitions. 관리를 간소화하기 위해 여러 비즈니스 규칙을 그룹화하여 정책 이니셔티브(policySet 라고도 함)를 구성할 수 있습니다.To simplify management, several business rules can be grouped together to form a policy initiative (sometimes called a policySet). 비즈니스 규칙이 구성되면 정책 정의 또는 이니셔티브가 Azure에서 지원하는 리소스의 범위(예: 관리 그룹, 구독, 리소스 그룹 또는 개별 리소스)에 할당됩니다.Once your business rules have been formed, the policy definition or initiative is assigned to any scope of resources that Azure supports, such as management groups, subscriptions, resource groups, or individual resources. 할당은 해당 할당의 Resource Manager 범위 내에 있는 모든 리소스에 적용됩니다.The assignment applies to all resources within the Resource Manager scope of that assignment. 필요한 경우 하위 범위를 제외할 수 있습니다.Subscopes can be excluded, if necessary. 자세한 내용은 Azure Policy의 범위를 참조하세요.For more information, see Scope in Azure Policy.

Azure Policy는 JSON 형식을 사용하여 평가에서 리소스의 규정 준수 여부를 확인하는 데 사용하는 논리를 구성합니다.Azure Policy uses a JSON format to form the logic the evaluation uses to determine if a resource is compliant or not. 정의에는 메타데이터와 정책 규칙이 포함됩니다.Definitions include metadata and the policy rule. 정의된 규칙은 함수, 매개 변수, 논리 연산자, 조건 및 속성 별칭을 사용하여 원하는 시나리오와 정확하게 일치시킬 수 있습니다.The defined rule can use functions, parameters, logical operators, conditions, and property aliases to match exactly the scenario you want. 정책 규칙은 할당 범위에서 평가되는 리소스를 결정합니다.The policy rule determines which resources in the scope of the assignment get evaluated.

평가 결과 이해Understand evaluation outcomes

리소스는 리소스 수명 주기, 정책 할당 수명 주기 및 정기적인 지속적인 일반 규정 준수 평가 기간의 특정 시간에 평가됩니다.Resources are evaluated at specific times during the resource lifecycle, the policy assignment lifecycle, and for regular ongoing compliance evaluation. 리소스가 평가되는 시간 또는 이벤트는 다음과 같습니다.The following are the times or events that cause a resource to be evaluated:

  • 리소스가 정책 할당을 통해 범위에서 만들어지거나 업데이트되거나 삭제됩니다.A resource is created, updated, or deleted in a scope with a policy assignment.
  • 정책 또는 이니셔티브는 범위에 새로 할당됩니다.A policy or initiative is newly assigned to a scope.
  • 범위에 새로 할당된 정책 또는 이니셔티브는 업데이트됩니다.A policy or initiative already assigned to a scope is updated.
  • 표준 규정 준수 평가 주기 동안 24시간마다 한 번씩 수행됩니다.During the standard compliance evaluation cycle, which occurs once every 24 hours.

정책 평가가 수행되는 시기와 방법에 대한 자세한 내용은 평가 트리거를 참조하세요.For detailed information about when and how policy evaluation happens, see Evaluation triggers.

평가에 대한 응답 제어Control the response to an evaluation

비준수 리소스를 처리하는 비즈니스 규칙은 조직마다 크게 다릅니다.Business rules for handling non-compliant resources vary widely between organizations. 조직에서 비규격 리소스에 대응하는 플랫폼을 원하는 방법에 대한 예는 다음과 같습니다.Examples of how an organization wants the platform to respond to a non-compliant resource include:

  • 리소스 변경 거부Deny the resource change
  • 리소스에 대한 변경 내용 기록Log the change to the resource
  • 변경 전 리소스 변경Alter the resource before the change
  • 변경 후 리소스 변경Alter the resource after the change
  • 관련 규정 준수 리소스 배포Deploy related compliant resources

Azure Policy는 효과를 적용하여 이러한 비즈니스 응답 각각을 가능하게 합니다.Azure Policy makes each of these business responses possible through the application of effects. 효과는 정책 정의정책 규칙 부분에 설정됩니다.Effects are set in the policy rule portion of the policy definition.

규정 비준수 리소스 수정Remediate non-compliant resources

이러한 효과는 리소스를 만들거나 업데이트할 때 주로 리소스에 영향을 주지만, Azure Policy는 해당 리소스를 변경할 필요 없이 기존 비준수 리소스를 처리하도록 지원합니다.While these effects primarily affect a resource when the resource is created or updated, Azure Policy also supports dealing with existing non-compliant resources without needing to alter that resource. 기존 리소스에서 규정 준수하도록 만드는 방법에 대한 자세한 내용은 리소스 수정을 참조하세요.For more information about making existing resources compliant, see remediating resources.

비디오 개요Video overview

Azure Policy의 다음 개요는 Build 2018에서부터 시작됩니다.The following overview of Azure Policy is from Build 2018. 슬라이드 또는 비디오 다운로드의 경우 Channel 9에서 Azure Policy를 통해 Azure 환경 제어를 방문하세요.For slides or video download, visit Govern your Azure environment through Azure Policy on Channel 9.

시작Getting started

Azure Policy 및 Azure RBACAzure Policy and Azure RBAC

Azure Policy 및 Azure RBAC(Azure 역할 기반 액세스 제어) 간에는 몇 가지 주요 차이점이 있습니다.There are a few key differences between Azure Policy and Azure role-based access control (Azure RBAC). Azure Policy는 Resource Manager에 표시되는 리소스의 속성 및 일부 리소스 공급자의 속성을 검사하여 상태를 평가합니다.Azure Policy evaluates state by examining properties on resources that are represented in Resource Manager and properties of some Resource Providers. Azure Policy는 작업(동작 이라고도 함)을 제한하지 않습니다.Azure Policy doesn't restrict actions (also called operations). Azure Policy를 사용하면 변경한 사용자 또는 변경 권한이 있는 사용자에 대한 걱정 없이 리소스 상태에서 비즈니스 규칙을 준수하는지 확인할 수 있습니다.Azure Policy ensures that resource state is compliant to your business rules without concern for who made the change or who has permission to make a change.

Azure RBAC는 다양한 범위에서 사용자 작업을 관리하는 데 중점을 둡니다.Azure RBAC focuses on managing user actions at different scopes. 작업을 제어해야 하는 경우 Azure RBAC가 사용하는 데 적합한 도구입니다.If control of an action is required, then Azure RBAC is the correct tool to use. 개인에게 작업을 수행할 수 있는 액세스 권한이 있더라도 결과가 비준수 리소스이면 Azure Policy에서 만들기 또는 업데이트를 계속 차단합니다.Even if an individual has access to perform an action, if the result is a non-compliant resource, Azure Policy still blocks the create or update.

Azure RBAC와 Azure Policy의 조합은 Azure에서 전체 범위 제어를 제공합니다.The combination of Azure RBAC and Azure Policy provides full scope control in Azure.

Azure Policy의 Azure RBAC 사용 권한Azure RBAC permissions in Azure Policy

Azure Policy에는 여러 권한이 있는데, 다음 두 리소스 공급자에서는 작업으로 알려져 있습니다.Azure Policy has several permissions, known as operations, in two Resource Providers:

여러 기본 제공 역할은 Azure Policy 리소스에 대한 권한을 부여합니다.Many Built-in roles grant permission to Azure Policy resources. 리소스 정책 기여자 역할은 대부분의 Azure Policy 작업을 포함합니다.The Resource Policy Contributor role includes most Azure Policy operations. 소유자 는 전체 권한을 보유합니다.Owner has full rights. 기여자읽기 권한자 는 모두 읽기 Azure Policy 작업에 액세스할 수 있습니다.Both Contributor and Reader have access to all read Azure Policy operations. 기여자 는 리소스 수정을 트리거할 수 있지만, 정의 또는 할당을 만들 수는 없습니다.Contributor may trigger resource remediation, but can't create definitions or assignments. 사용자 액세스 관리자deployIfNotExists 에서 관리 ID를 부여하거나 할당에 필요한 권한을 수정 하는 데 필요합니다.User Access Administrator is necessary to grant the managed identity on deployIfNotExists or modify assignments necessary permissions.

기본 제공 역할에 필수 권한이 없는 경우 사용자 지정 역할을 만듭니다.If none of the Built-in roles have the permissions required, create a custom role.

참고

deployIfNotExists 또는 수정 정책 할당의 관리 ID에는 대상 리소스를 만들거나 업데이트할 수 있는 충분한 권한이 필요합니다.The managed identity of a deployIfNotExists or modify policy assignment needs enough permissions to create or update targetted resources. 자세한 내용은 수정에 대한 정책 정의 구성을 참조하세요.For more information, see Configure policy definitions for remediation.

Azure Policy에서 처리하는 리소스Resources covered by Azure Policy

Azure Policy는 Arc 지원 리소스를 포함하여 구독 수준 이하의 모든 Azure 리소스를 평가합니다.Azure Policy evaluates all Azure resources at or below subscription-level, including Arc enabled resources. 게스트 구성, Azure Kubernetes Service, Azure Key Vault와 같은 특정 리소스 공급자의 경우 설정 및 개체 관리를 위해 더 긴밀하게 통합됩니다.For certain resource providers such as Guest Configuration, Azure Kubernetes Service, and Azure Key Vault, there's a deeper integration for managing settings and objects. 자세한 내용은 리소스 공급자 모드를 참조하세요.To find out more, see Resource Provider modes.

정책 관리에 대한 권장 사항Recommendations for managing policies

다음은 유의해야 할 몇 가지 포인터 및 팁입니다.Here are a few pointers and tips to keep in mind:

  • 정책 정의가 환경의 리소스에 미치는 영향을 추적하기 위해 거부 효과 대신 감사 효과로 시작합니다.Start with an audit effect instead of a deny effect to track impact of your policy definition on the resources in your environment. 이미 애플리케이션 크기를 자동으로 조정하는 스크립트가 있는 경우 거부 효과를 설정하면 기존의 자동화 작업이 방해를 받을 수 있습니다.If you have scripts already in place to autoscale your applications, setting a deny effect may hinder such automation tasks already in place.

  • 정의 및 할당을 만들 때는 조직 계층 구조를 고려합니다.Consider organizational hierarchies when creating definitions and assignments. 관리 그룹 또는 구독 수준과 같은 상위 수준에서 정의를 만드는 것이 좋습니다.We recommend creating definitions at higher levels such as the management group or subscription level. 그런 후에, 다음 하위 수준에서 할당을 만듭니다.Then, create the assignment at the next child level. 관리 그룹에서 정의를 만드는 경우 할당 범위를 해당 관리 그룹 내의 구독 또는 리소스 그룹으로 축소할 수 있습니다.If you create a definition at a management group, the assignment can be scoped down to a subscription or resource group within that management group.

  • 단일 정책 정의에 대해서도 이니셔티브 정의를 만들고 할당하는 것이 좋습니다.We recommend creating and assigning initiative definitions even for a single policy definition. 예를 들어 정책 정의 policyDefA 가 있고, 이니셔티브 정의 initiativeDefC 아래에 만듭니다.For example, you have policy definition policyDefA and create it under initiative definition initiativeDefC. 나중에 policyDefA 와 비슷한 목표로 policyDefB 에 대한 다른 정책 정의를 만드는 경우 initiativeDefC 아래에 추가하고 함께 추적할 수 있습니다.If you create another policy definition later for policyDefB with goals similar to policyDefA, you can add it under initiativeDefC and track them together.

  • 이니셔티브 할당을 만들면 이니셔티브에 추가된 정책 정의도 해당 이니셔티브 할당의 일부가 됩니다.Once you've created an initiative assignment, policy definitions added to the initiative also become part of that initiative's assignments.

  • 이니셔티브 할당을 평가할 때 이니셔티브 내의 모든 정책도 평가됩니다.When an initiative assignment is evaluated, all policies within the initiative are also evaluated. 정책을 개별적으로 평가해야 하는 경우 이니셔티브에 포함하지 않는 것이 좋습니다.If you need to evaluate a policy individually, it's better to not include it in an initiative.

Azure Policy 개체Azure Policy objects

정책 정의Policy definition

Azure Policy에서 정책을 만들고 구현하는 과정은 정책 정의 만들기로 시작합니다.The journey of creating and implementing a policy in Azure Policy begins with creating a policy definition. 모든 정책 정의에는 정책이 적용되는 조건이 있습니다.Every policy definition has conditions under which it's enforced. 또한 조건이 충족되면 발생하는 정의된 효과가 있습니다.And, it has a defined effect that takes place if the conditions are met.

Azure Policy에는 기본적으로 사용 가능한 여러 가지 기본 제공 정책이 있습니다.In Azure Policy, we offer several built-in policies that are available by default. 예를 들면 다음과 같습니다.For example:

  • 허용되는 스토리지 계정 SKU(거부): 배포 중인 스토리지 계정이 SKU 크기 세트 내에 있는지 여부를 확인합니다.Allowed Storage Account SKUs (Deny): Determines if a storage account being deployed is within a set of SKU sizes. 정의된 SKU 크기 세트를 준수하지 않는 모든 스토리지 계정을 거부하게 됩니다.Its effect is to deny all storage accounts that don't adhere to the set of defined SKU sizes.
  • 허용되는 리소스 종류(거부): 배포할 수 있는 리소스 유형을 정의합니다.Allowed Resource Type (Deny): Defines the resource types that you can deploy. 이 정의된 목록에 속하지 않는 모든 리소스를 거부하게 됩니다.Its effect is to deny all resources that aren't part of this defined list.
  • 허용되는 위치(거부): 새 리소스를 사용할 수 있는 위치를 제한합니다.Allowed Locations (Deny): Restricts the available locations for new resources. 해당 효과는 지역 규정 준수 요구 사항을 적용하는 데 사용됩니다.Its effect is used to enforce your geo-compliance requirements.
  • 허용되는 가상 머신 SKU(거부): 배포할 수 있는 가상 머신 SKU 세트를 지정합니다.Allowed Virtual Machine SKUs (Deny): Specifies a set of virtual machine SKUs that you can deploy.
  • 리소스에 태그 추가(수정): 배포 요청에 의해 지정되지 않은 경우 필수 태그 및 해당 기본값을 적용합니다.Add a tag to resources (Modify): Applies a required tag and its default value if it's not specified by the deploy request.
  • 허용되지 않는 리소스 종류(거부): 리소스 종류 목록이 배포되지 않도록 합니다.Not allowed resource types (Deny): Prevents a list of resource types from being deployed.

이러한 정책 정의(기본 제공 및 사용자 지정 정의)를 구현하려면 할당해야 합니다.To implement these policy definitions (both built-in and custom definitions), you'll need to assign them. Azure Portal, PowerShell 또는 Azure CLI를 통해 이러한 정책을 할당할 수 있습니다.You can assign any of these policies through the Azure portal, PowerShell, or Azure CLI.

정책 평가는 정책 할당 또는 정책 업데이트와 같은 여러 가지 작업에서 수행됩니다.Policy evaluation happens with several different actions, such as policy assignment or policy updates. 전체 목록은 정책 평가 트리거를 참조하세요.For a complete list, see Policy evaluation triggers.

정책 정의의 구조에 대한 자세한 내용은 정책 정의 구조를 확인하세요.To learn more about the structures of policy definitions, review Policy Definition Structure.

정책 매개 변수는 만들어야 하는 정책 정의의 수를 줄여 정책 관리를 간소화하는 데 도움이 됩니다.Policy parameters help simplify your policy management by reducing the number of policy definitions you must create. 더 일반적인 정책 정의를 만들 때는 매개 변수를 정의할 수 있습니다.You can define parameters when creating a policy definition to make it more generic. 그런 다음 다른 시나리오에 대해 해당 정책 정의를 다시 사용할 수 있습니다.Then you can reuse that policy definition for different scenarios. 정책 정의를 할당할 때 다른 값을 전달하면 됩니다.You do so by passing in different values when assigning the policy definition. 예를 들어 구독에 대해 하나의 위치 집합을 지정합니다.For example, specifying one set of locations for a subscription.

매개 변수는 정책 정의를 만들 때 정의됩니다.Parameters are defined when creating a policy definition. 매개 변수를 정의할 때는 이름과, 필요에 따라 값이 지정됩니다.When a parameter is defined, it's given a name and optionally given a value. 예를 들어 location 이라는 정책에 대한 매개 변수를 정의할 수 있습니다.For example, you could define a parameter for a policy titled location. 그런 다음 정책을 할당할 때 EastUS 또는 WestUS 와 같은 다른 값을 지정할 수 있습니다.Then you can give it different values such as EastUS or WestUS when assigning a policy.

정책 매개 변수에 대한 자세한 내용은 정의 구조 - 매개 변수를 참조하세요.For more information about policy parameters, see Definition structure - Parameters.

이니셔티브 정의Initiative definition

이니셔티브 정의는 가장 중요한 단일 목표를 달성하기 위해 맞춤화된 정책 정의의 컬렉션입니다.An initiative definition is a collection of policy definitions that are tailored towards achieving a singular overarching goal. 이니셔티브 정의를 사용하면 정책 정의 관리 및 할당을 더 쉽게 수행할 수 있습니다.Initiative definitions simplify managing and assigning policy definitions. 정책 집합을 단일 항목으로 그룹화하여 단순화합니다.They simplify by grouping a set of policies as one single item. 예를 들어 이름이 Azure Security Center에서 모니터링 사용 이면서 목표가 Azure Security Center의 모든 사용 가능한 보안 권장 사항을 모니터링하는 것인 이니셔티브를 만들 수 있습니다.For example, you could create an initiative titled Enable Monitoring in Azure Security Center, with a goal to monitor all the available security recommendations in your Azure Security Center.

참고

SDK(예: Azure CLI 및 Azure PowerShell)는 PolicySet 라는 속성과 매개 변수를 사용하여 이니셔티브를 참조합니다.The SDK, such as Azure CLI and Azure PowerShell, use properties and parameters named PolicySet to refer to initiatives.

이 이니셔티브에 따라 다음과 같은 정책 정의가 있게 됩니다.Under this initiative, you would have policy definitions such as:

  • Security Center의 암호화되지 않은 SQL 데이터베이스 모니터링 - 암호화되지 않은 SQL 데이터베이스 및 서버 모니터링Monitor unencrypted SQL Database in Security Center – For monitoring unencrypted SQL databases and servers.
  • Security Center의 OS 취약성 모니터링 – 구성된 기준을 충족하지 않는 서버 모니터링Monitor OS vulnerabilities in Security Center – For monitoring servers that don't satisfy the configured baseline.
  • Security Center의 누락된 엔드포인트 보호 모니터링 – 엔드포인트 보호 에이전트가 설치되지 않은 서버 모니터링Monitor missing Endpoint Protection in Security Center – For monitoring servers without an installed endpoint protection agent.

정책 매개 변수처럼 이니셔티브 매개 변수는 중복을 줄여 이니셔티브 관리를 간소화합니다.Like policy parameters, initiative parameters help simplify initiative management by reducing redundancy. 이니셔티브 매개 변수는 이니셔티브 내의 정책 정의에 사용되는 매개 변수입니다.Initiative parameters are parameters being used by the policy definitions within the initiative.

예를 들어 각각 다른 형식의 매개 변수가 필요한 policyApolicyB 정책 정의를 사용하여 이니셔티브 정의 initiativeC 가 있는 시나리오를 살펴보겠습니다.For example, take a scenario where you have an initiative definition - initiativeC, with policy definitions policyA and policyB each expecting a different type of parameter:

정책Policy 매개 변수의 이름Name of parameter 매개 변수 형식Type of parameter 참고Note
policyApolicyA allowedLocationsallowedLocations arrayarray 매개 변수 형식이 배열로 정의되었으므로 이 매개 변수는 값으로 문자열 목록을 예상합니다.This parameter expects a list of strings for a value since the parameter type has been defined as an array
policyBpolicyB allowedSingleLocationallowedSingleLocation 문자열string 매개 변수 형식이 문자열로 정의되었으므로 이 매개 변수는 값으로 한 단어를 예상합니다.This parameter expects one word for a value since the parameter type has been defined as a string

이 시나리오에서는 initiativeC 에 대한 이니셔티브 매개 변수를 정의할 때 세 가지 옵션이 있습니다.In this scenario, when defining the initiative parameters for initiativeC, you have three options:

  • 이 이니셔티브 내의 정책 정의 매개 변수 사용: 이 예제에서는 allowedLocationsallowedSingleLocationinitiativeC 에 대한 이니셔티브 매개 변수가 됩니다.Use the parameters of the policy definitions within this initiative: In this example, allowedLocations and allowedSingleLocation become initiative parameters for initiativeC.
  • 이 이니셔티브 정의 내에서 정책 정의의 매개 변수에 값 제공:Provide values to the parameters of the policy definitions within this initiative definition. 이 예에서는 위치 목록을 policyA 의 매개 변수(allowedLocations) 및 policyB 의 매개 변수(allowedSingleLocation)에 제공할 수 있습니다.In this example, you can provide a list of locations to policyA's parameter – allowedLocations and policyB's parameter – allowedSingleLocation. 이 이니셔티브를 할당할 때 값을 제공할 수도 있습니다.You can also provide values when assigning this initiative.
  • 이 이니셔티브를 할당할 때 옵션 목록 제공.Provide a list of value options that can be used when assigning this initiative. 이 이니셔티브를 할당할 때 이니셔티브 내 정책 정의에서 상속된 매개 변수는 이 제공된 목록의 값만 가질 수 있습니다.When you assign this initiative, the inherited parameters from the policy definitions within the initiative, can only have values from this provided list.

이니셔티브 정의에 값 옵션을 만드는 경우 이니셔티브 할당 중에 목록에 속하지 않는 다른 값을 입력할 수 없습니다.When creating value options in an initiative definition, you're unable to input a different value during the initiative assignment because it's not part of the list.

이니셔티브 정의 구조에 대해 자세히 알아보려면 이니셔티브 정의 구조를 검토하세요.To learn more about the structures of initiative definitions, review Initiative Definition Structure.

할당Assignments

할당은 특정 범위 내에서 수행하도록 할당된 정책 정의 또는 이니셔티브입니다.An assignment is a policy definition or initiative that has been assigned to take place within a specific scope. 이 범위는 관리 그룹에서 개별 리소스에 이르기까지 다양할 수 있습니다.This scope could range from a management group to an individual resource. 범위 라는 용어는 정의가 할당된 모든 리소스, 리소스 그룹, 구독 또는 관리 그룹을 나타냅니다.The term scope refers to all the resources, resource groups, subscriptions, or management groups that the definition is assigned to. 할당은 모든 자식 리소스에 상속됩니다.Assignments are inherited by all child resources. 이 설계는 리소스 그룹에 적용된 정의가 해당 리소스 그룹의 리소스에도 적용된다는 것을 의미합니다.This design means that a definition applied to a resource group is also applied to resources in that resource group. 그러나 할당에서 하위 범위를 제외할 수 있습니다.However, you can exclude a subscope from the assignment.

예를 들어 구독 범위에서 네트워킹 리소스를 만들지 못하도록 방지하는 정의를 할당할 수 있습니다.For example, at the subscription scope, you can assign a definition that prevents the creation of networking resources. 해당 구독 내에서 네트워킹 인프라를 대상으로 하는 리소스 그룹을 제외할 수 있습니다.You could exclude a resource group in that subscription that is intended for networking infrastructure. 그런 다음, 네트워킹 리소스 생성을 신뢰하는 사용자에게 이 네트워킹 리소스 그룹에 대한 액세스 권한을 부여합니다.You then grant access to this networking resource group to users that you trust with creating networking resources.

또 다른 예로, 관리 그룹 수준에서 리소스 종류 허용 목록 정의를 할당할 수 있습니다.In another example, you might want to assign a resource type allow list definition at the management group level. 그런 다음, 더 많은 허용 정책(더 많은 리소스 종류 허용)을 자식 관리 그룹에 할당하거나 구독에 직접 할당합니다.Then you assign a more permissive policy (allowing more resource types) on a child management group or even directly on subscriptions. 그러나 Azure Policy는 명시적 거부 시스템이므로 이 예는 작동하지 않습니다.However, this example wouldn't work because Azure Policy is an explicit deny system. 대신 관리 그룹 수준 할당에서 자식 관리 그룹 또는 구독을 제외해야 합니다.Instead, you need to exclude the child management group or subscription from the management group-level assignment. 그런 다음, 더 많은 허용 정의를 자식 관리 그룹 또는 구독 수준에 할당합니다.Then, assign the more permissive definition on the child management group or subscription level. 할당으로 인해 리소스가 거부되는 경우 리소스를 허용하는 유일한 방법은 거부하는 할당을 수정하는 것입니다.If any assignment results in a resource getting denied, then the only way to allow the resource is to modify the denying assignment.

포털을 통해 할당을 설정하는 방법에 대한 자세한 내용은 Azure 환경에서 비준수 리소스를 식별하는 정책 할당 만들기를 참조하세요.For more information on setting assignments through the portal, see Create a policy assignment to identify non-compliant resources in your Azure environment. PowerShellAzure CLI용 단계도 제공됩니다.Steps for PowerShell and Azure CLI are also available. 할당 구조에 대한 정보는 할당 구조를 참조하세요.For information on the assignment structure, see Assignments Structure.

Azure Policy 개체의 최대 수Maximum count of Azure Policy objects

Azure Policy의 각 개체 형식에 대한 최대 수가 있습니다.There's a maximum count for each object type for Azure Policy. 정의의 경우 범위 항목은 관리 그룹 또는 구독을 의미합니다.For definitions, an entry of Scope means the management group or subscription. 할당 및 예외의 경우 범위 항목은 관리 그룹, 구독, 리소스 그룹 또는 개별 리소스를 의미합니다.For assignments and exemptions, an entry of Scope means the management group, subscription, resource group, or individual resource.

WhereWhere 대상What 최대 수Maximum count
범위Scope 정책 정의Policy definitions 500500
범위Scope 이니셔티브 정의Initiative definitions 200200
테넌트Tenant 이니셔티브 정의Initiative definitions 2,5002,500
범위Scope 정책 또는 이니셔티브 할당Policy or initiative assignments 200200
ScopeScope 예외Exemptions 10001000
정책 정의Policy definition 매개 변수Parameters 2020
이니셔티브 정의Initiative definition 정책Policies 10001000
이니셔티브 정의Initiative definition 매개 변수Parameters 100100
정책 또는 이니셔티브 할당Policy or initiative assignments 제외(notScopes)Exclusions (notScopes) 400400
정책 규칙Policy rule 중첩된 조건부Nested conditionals 512512
수정 작업Remediation task 리소스Resources 500500

다음 단계Next steps

이제 Azure Policy 개요와 몇 가지 핵심 개념을 살펴보았으므로 다음과 같은 단계를 권장합니다.Now that you have an overview of Azure Policy and some of the key concepts, here are the suggested next steps: