Azure Policy-toewijzingsstructuurAzure Policy assignment structure

Beleids toewijzingen worden gebruikt door Azure Policy om te definiƫren welke resources worden toegewezen aan welke beleids regels of initiatieven.Policy assignments are used by Azure Policy to define which resources are assigned which policies or initiatives. De beleids toewijzing kan de waarden van para meters voor die groep resources tijdens de toewijzing bepalen, waardoor beleids definities die overeenkomen met dezelfde resource-eigenschappen, opnieuw kunnen worden gebruikt met verschillende vereisten voor naleving.The policy assignment can determine the values of parameters for that group of resources at assignment time, making it possible to reuse policy definitions that address the same resource properties with different needs for compliance.

U gebruikt JSON om een beleids toewijzing te maken.You use JSON to create a policy assignment. De beleids toewijzing bevat elementen voor:The policy assignment contains elements for:

  • weergave naamdisplay name
  • beschrijvingdescription
  • metagegevensmetadata
  • Afdwingings modusenforcement mode
  • uitgesloten bereikenexcluded scopes
  • beleids definitiepolicy definition
  • berichten over niet-nalevingnon-compliance messages
  • parametersparameters

Zo toont de volgende JSON een beleids toewijzing in de modus DoNotEnforce met dynamische para meters:For example, the following JSON shows a policy assignment in DoNotEnforce mode with dynamic parameters:

{
    "properties": {
        "displayName": "Enforce resource naming rules",
        "description": "Force resource names to begin with DeptA and end with -LC",
        "metadata": {
            "assignedBy": "Cloud Center of Excellence"
        },
        "enforcementMode": "DoNotEnforce",
        "notScopes": [],
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
        "nonComplianceMessages": [
            {
                "message": "Resource names must start with 'DeptA' and end with '-LC'."
            }
        ],
        "parameters": {
            "prefix": {
                "value": "DeptA"
            },
            "suffix": {
                "value": "-LC"
            }
        }
    }
}

Alle Azure Policy-voor beelden zijn Azure Policy-voor beelden.All Azure Policy samples are at Azure Policy samples.

Weergave naam en beschrijvingDisplay name and description

U gebruikt DisplayName en Beschrijving om de beleids toewijzing te identificeren en context te bieden voor het gebruik van de specifieke set resources.You use displayName and description to identify the policy assignment and provide context for its use with the specific set of resources. DisplayName heeft een maximale lengte van 128 tekens en een Beschrijving van Maxi maal 512 tekens.displayName has a maximum length of 128 characters and description a maximum length of 512 characters.

Afdwingings modusEnforcement Mode

De eigenschap enforcementMode biedt klanten de mogelijkheid om het resultaat van een beleid op bestaande bronnen te testen zonder het beleids effect of de trigger vermeldingen in het Azure-activiteiten logboekte initiƫren.The enforcementMode property provides customers the ability to test the outcome of a policy on existing resources without initiating the policy effect or triggering entries in the Azure Activity log. Dit scenario wordt meestal ' What If ' genoemd en is afgestemd op veilige implementatie procedures.This scenario is commonly referred to as "What If" and aligns to safe deployment practices. enforcementMode wijkt af van het Uitgeschakelde effect, wat betekent dat de resource-evaluatie helemaal niet kan plaatsvinden.enforcementMode is different from the Disabled effect, as that effect prevents resource evaluation from happening at all.

Deze eigenschap heeft de volgende waarden:This property has the following values:

ModusMode JSON-waardeJSON Value TypeType Hand matig herstellenRemediate manually Vermelding in het activiteiten logboekActivity log entry BeschrijvingDescription
IngeschakeldEnabled StandaardDefault tekenreeksstring JaYes JaYes Het beleids effect wordt afgedwongen tijdens het maken of bijwerken van de resource.The policy effect is enforced during resource creation or update.
UitgeschakeldDisabled DoNotEnforceDoNotEnforce tekenreeksstring JaYes NeeNo Het beleids effect wordt niet afgedwongen tijdens het maken of bijwerken van resources.The policy effect isn't enforced during resource creation or update.

Als enforcementMode niet is opgegeven in een beleids-of initiatief definitie, wordt de standaard waarde gebruikt.If enforcementMode isn't specified in a policy or initiative definition, the value Default is used. Herstel taken kunnen worden gestart voor deployIfNotExists -beleid, zelfs wanneer enforcementMode is ingesteld op DoNotEnforce.Remediation tasks can be started for deployIfNotExists policies, even when enforcementMode is set to DoNotEnforce.

Uitgesloten bereikenExcluded scopes

Het bereik van de toewijzing bevat alle onderliggende resource containers en onderliggende resources.The scope of the assignment includes all child resource containers and child resources. Als de definitie van een onderliggende bron container of onderliggende bron niet moet worden toegepast, kan deze worden uitgesloten van de evaluatie door notScopes in te stellen.If a child resource container or child resource shouldn't have the definition applied, each can be excluded from evaluation by setting notScopes. Deze eigenschap is een matrix waarmee een of meer resource containers of bronnen kunnen worden uitgesloten.This property is an array to enable excluding one or more resource containers or resources from evaluation. notScopes kunnen worden toegevoegd of bijgewerkt na het maken van de eerste toewijzing.notScopes can be added or updated after creation of the initial assignment.

Notitie

Een uitgesloten resource wijkt af van een vrijgestelde resource.An excluded resource is different from an exempted resource. Zie bereik begrijpen in azure Policyvoor meer informatie.For more information, see Understand scope in Azure Policy.

Beleids definitie-IDPolicy definition ID

Dit veld moet de volledige padnaam zijn van ofwel een beleids definitie of een initiatief definitie.This field must be the full path name of either a policy definition or an initiative definition. policyDefinitionId is een teken reeks en geen matrix.policyDefinitionId is a string and not an array. Het is raadzaam om in plaats daarvan een initiatief te gebruiken als er vaak meerdere beleids regels aan elkaar worden toegewezen.It's recommended that if multiple policies are often assigned together, to use an initiative instead.

Berichten over niet-nalevingNon-compliance messages

Als u een aangepast bericht wilt instellen waarin wordt beschreven waarom een resource niet compatibel is met het beleid of initiatief definitie, stelt u nonComplianceMessages in de toewijzings definitie in.To set a custom message that describe why a resource is non-compliant with the policy or initiative definition, set nonComplianceMessages in the assignment definition. Dit knoop punt is een matrix met message vermeldingen.This node is an array of message entries. Dit aangepaste bericht is een aanvulling op het standaard fout bericht voor niet-naleving en is optioneel.This custom message is in addition to the default error message for non-compliance and is optional.

"nonComplianceMessages": [
    {
        "message": "Default message"
    }
]

Als de toewijzing voor een initiatief geldt, kunnen verschillende berichten worden geconfigureerd voor elke beleids definitie in het initiatief.If the assignment is for an initiative, different messages can be configured for each policy definition in the initiative. De berichten gebruiken de policyDefinitionReferenceId waarde die is geconfigureerd in de initiatief definitie.The messages use the policyDefinitionReferenceId value configured in the initiative definition. Zie Eigenschappen van beleids definitiesvoor meer informatie.For details, see policy definitions properties.

"nonComplianceMessages": [
    {
        "message": "Default message"
    },
    {
        "message": "Message for just this policy definition by reference ID",
        "policyDefinitionReferenceId": "10420126870854049575"
    }
]

ParametersParameters

Dit segment van de beleids toewijzing bevat de waarden voor de para meters die zijn gedefinieerd in de beleids definitie of initiatief definitie.This segment of the policy assignment provides the values for the parameters defined in the policy definition or initiative definition. Dit ontwerp maakt het mogelijk om een beleid of initiatief definitie met verschillende resources te hergebruiken, maar te controleren op verschillende bedrijfs waarden of-resultaten.This design makes it possible to reuse a policy or initiative definition with different resources, but check for different business values or outcomes.

"parameters": {
    "prefix": {
        "value": "DeptA"
    },
    "suffix": {
        "value": "-LC"
    }
}

In dit voor beeld zijn de para meters die eerder zijn gedefinieerd in de beleids definitie, prefix en suffix .In this example, the parameters previously defined in the policy definition are prefix and suffix. Deze specifieke beleids toewijzing is ingesteld prefix op afda en suffix naar -LC.This particular policy assignment sets prefix to DeptA and suffix to -LC. Dezelfde beleids definitie kan opnieuw worden gebruikt met een andere set para meters voor een andere afdeling, waardoor het dupliceren en de complexiteit van beleids definities wordt verkort tijdens het bieden van flexibiliteit.The same policy definition is reusable with a different set of parameters for a different department, reducing the duplication and complexity of policy definitions while providing flexibility.

Volgende stappenNext steps