Bereik in Azure Policy
Er zijn veel instellingen die bepalen welke resources kunnen worden geëvalueerd en welke resources worden geëvalueerd door Azure Policy. Het primaire concept voor deze besturingselementen is bereik. Bereik in Azure Policy is gebaseerd op de manier waarop het bereik in uw Azure Resource Manager. Zie Bereik in Azure Resource Manager voor een Azure Resource Manager. In dit artikel wordt het belang van bereik in Azure Policy en de bijbehorende objecten en eigenschappen uitgelegd.
Definitielocatie
Het bereik van het eerste exemplaar dat door Azure Policy wordt gebruikt, is wanneer een beleidsdefinitie wordt gemaakt. De definitie kan worden opgeslagen in een beheergroep of een abonnement. De locatie bepaalt het bereik waaraan het initiatief of beleid kan worden toegewezen. Resources moeten zich binnen de resourcehiërarchie van de definitielocatie bevinden die als doel moet worden gebruikt voor toewijzing.
Als de definitielocatie een is:
- Abonnement: alleen resources binnen dat abonnement kunnen aan de beleidsdefinitie worden toegewezen.
- Beheergroep: alleen resources binnen onderliggende beheergroepen en onderliggende abonnementen kunnen aan de beleidsdefinitie worden toegewezen. Als u van plan bent om de beleidsdefinitie toe te passen op verschillende abonnementen, moet de locatie een beheergroep zijn die elk abonnement bevat.
De locatie moet de resourcecontainer zijn die wordt gedeeld door alle resources die u de beleidsdefinitie wilt gebruiken. Deze resourcecontainer is doorgaans een beheergroep in de buurt van de hoofdbeheergroep.
Toewijzingsbereiken
Een toewijzing heeft verschillende eigenschappen die een bereik instellen. Het gebruik van deze eigenschappen bepaalt welke resource Azure Policy te evalueren en welke resources meetellen voor naleving. Deze eigenschappen zijn in kaart gebracht aan de volgende concepten:
Insluiting: een resourcehiërarchie of afzonderlijke resource moet worden geëvalueerd op naleving door de definitie. De
properties.scopeeigenschap van een toewijzingsobject bepaalt wat er moet worden in- en geëvalueerd voor naleving. Zie Toewijzingsdefinitie voor meer informatie.Uitsluiting: een resourcehiërarchie of afzonderlijke resource mag niet worden geëvalueerd op naleving door de definitie. De
properties.notScopesmatrix-eigenschap van een toewijzingsobject bepaalt wat moet worden uitgesloten. Resources binnen deze scopes worden niet geëvalueerd of opgenomen in het aantal nalevingen. Zie Toewijzingsdefinitie - uitgesloten scopes voor meer informatie.
Naast de eigenschappen van de beleidstoewijzing is het object voor beleidsvrijstelling. Uitzonderingen verbeteren het bereik door een methode op te geven om een deel van een toewijzing te identificeren dat niet moet worden geëvalueerd.
Uitzondering (gratis in preview-functie) - Een resourcehiërarchie of afzonderlijke resource moet worden geëvalueerd op naleving door de definitie, maar wordt niet geëvalueerd om een reden zoals een probleem of een beperking via een andere methode. Resources in deze status worden in nalevingsrapporten als Uitgesloten weer geven, zodat ze kunnen worden bijgespoord. Het uitzonderingsobject wordt als onderliggend object gemaakt in de resourcehiërarchie of afzonderlijke resource, waarmee het bereik van de uitzondering wordt bepaald. Een resourcehiërarchie of afzonderlijke resource kan worden uitgesloten van meerdere toewijzingen. De uitzondering kan worden geconfigureerd om volgens een schema te verlopen met behulp van de
expiresOneigenschap . Zie Uitzonderingsdefinitie voor meer informatie.Notitie
Vanwege de gevolgen van het verlenen van een uitzondering voor een resourcehiërarchie of afzonderlijke resource, zijn voor uitzonderingen aanvullende beveiligingsmaatregelen nodig. Naast het vereisen van de bewerking op de resourcehiërarchie of afzonderlijke resource, moet de maker van een uitzondering het werkwoord hebben
Microsoft.Authorization/policyExemptions/writeexempt/Actionvoor de doeltoewijzing.
Vergelijking van bereik
De volgende tabel is een vergelijking van de bereikopties:
| Integratie | Uitsluiting (notScopes) | Vrijstelling | |
|---|---|---|---|
| Resources worden geëvalueerd | ✔ | - | - |
| Resource Manager object | - | - | ✔ |
| Vereist het wijzigen van het object voor beleidstoewijzing | ✔ | ✔ | - |
Volgende stappen
- Meer informatie over de structuur van beleidsdefinitie.
- Begrijpen hoe u programmatisch beleid kunt maken.
- Meer informatie over het op halen van nalevingsgegevens.
- Ontdek hoe u niet-compatibele resources kunt herstellen.
- Bekijk wat een beheergroep is met Uw resources organiseren met Azure-beheergroepen.