Azure Policy uitzonderingsstructuur

Artikel
08/28/2021
3 minuten om te lezen

De functie Azure Policy (preview) wordt gebruikt om een resourcehiërarchie of een afzonderlijke resource uit te uitgesloten van evaluatie van initiatieven of definities. Resources die uitgesloten zijn, tellen mee voor de algemene naleving, maar kunnen niet worden geëvalueerd of tijdelijk worden uitgesloten. Zie Bereik begrijpen in Azure Policy voor meer Azure Policy. Azure Policy-uitzonderingen werken alleen met Resource Manager-modi en werken niet met resourceprovidermodi.

Belangrijk

Deze functie is gratis tijdens de preview. Zie prijzen voor Azure Policy prijsinformatie. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

U gebruikt JSON om een beleidsvrijstelling te maken. De beleidsvrijstelling bevat elementen voor:

weergavenaam
beschrijving
metagegevens
beleidstoewijzing
beleidsdefinities binnen een initiatief
uitzonderingscategorie
Verloop

Notitie

Een beleidsvrijstelling wordt gemaakt als een onderliggend object in de resourcehiërarchie of als de afzonderlijke resource die de uitzondering heeft verleend, zodat het doel niet is opgenomen in de uitzonderingsdefinitie.

De volgende JSON toont bijvoorbeeld een beleidsvrijstelling in de categorie categorie Categorie van een resource voor een initiatieftoewijzing met de naam resourceShouldBeCompliantInit . De resource is uitgesloten van slechts twee van de beleidsdefinities in het initiatief, de aangepaste beleidsdefinitie (verwijzing ) en de ingebouwde beleidsdefinitie Toegestane locaties customOrgPolicy requiredTags (id: e56962a6-4747-49cd-b67b-bf8b01975c4c , verwijzing allowedLocations ):

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

Fragment van het gerelateerde initiatief met de overeenkomende die policyDefinitionReferenceIds wordt gebruikt door de beleidsvrijstelling:

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Weergavenaam en beschrijving

U gebruikt displayName en description om de beleidsvrijstelling te identificeren en context te bieden voor het gebruik ervan met de specifieke resource. displayName heeft een maximale lengte van 128 tekens en een beschrijving met een maximale lengte van 512 tekens.

Metagegevens

Met de eigenschap metadata kunt u elke onderliggende eigenschap maken die nodig is voor het opslaan van relevante informatie. In het bovenstaande voorbeeld bevatten eigenschappen requestedBy, approvedBy, approvedOn en ticketRef klantwaarden voor informatie over wie de uitzondering heeft aangevraagd, wie deze heeft goedgekeurd en wanneer, en een intern traceringsticket voor de aanvraag. Deze metagegevenseigenschappen zijn voorbeelden, maar ze zijn niet vereist en metagegevens zijn niet beperkt tot deze onderliggende eigenschappen.

Beleidstoewijzings-id

Dit veld moet de volledige padnaam van een beleidstoewijzing of een initiatieftoewijzing zijn. policyAssignmentId is een tekenreeks en geen matrix. Deze eigenschap definieert van welke toewijzing de bovenliggende resourcehiërarchie of afzonderlijke resource wordt uitgesloten.

Beleidsdefinitie-ID's

Als de voor een initiatieftoewijzing is, kan de eigenschap worden gebruikt om op te geven op welke beleidsdefinitie(s) in het initiatief de onderwerpresource een policyAssignmentId policyDefinitionReferenceIds uitzondering heeft. Omdat de resource kan worden uitgesloten van een of meer opgenomen beleidsdefinities, is deze eigenschap een matrix. De waarden moeten overeenkomen met de waarden in de initiatiefdefinitie in de policyDefinitions.policyDefinitionReferenceId velden.

Uitzonderingscategorie

Er bestaan twee uitzonderingscategorieën die worden gebruikt om uitzonderingen te groepen:

Beperkt: de uitzondering wordt verleend omdat aan de beleidsintentie wordt voldaan via een andere methode.
Afkeuren: de uitzondering wordt verleend omdat de niet-nalevingstoestand van de resource tijdelijk wordt geaccepteerd. Een andere reden om deze categorie te gebruiken, is voor een resource- of resourcehiërarchie die moet worden uitgesloten van een of meer definities in een initiatief, maar niet moet worden uitgesloten van het hele initiatief.

Verloopdatum

Als u wilt instellen wanneer een resourcehiërarchie of een afzonderlijke resource niet langer wordt uitgesloten van een toewijzing, stelt u de eigenschap expiresOn in. Deze optionele eigenschap moet de Universal ISO 8601 DateTime-indeling yyyy-MM-ddTHH:mm:ss.fffffffZ hebben.

Notitie

De beleidsvrijstellingen worden niet verwijderd wanneer de expiresOn datum is bereikt. Het object blijft behouden voor het bewaren van records, maar de uitzondering wordt niet meer gehonoreerd.

Vereiste machtigingen

De Azure RBAC-machtigingen die nodig zijn om beleidsvrijstellingsobjecten te beheren, zijn in de Microsoft.Authorization/policyExemptions bewerkingsgroep. De ingebouwde rollen Inzender voor resourcebeleid en Beveiligingsbeheerder hebben zowel de machtigingen als de machtigingen en Policy Insights Data Writer read write (Preview) heeft de read machtiging.

Uitzonderingen hebben extra beveiligingsmaatregelen vanwege de impact van het verlenen van een uitzondering. Naast het vereisen van de bewerking op de resourcehiërarchie of afzonderlijke resource, moet de maker van een uitzondering de bewerking voor Microsoft.Authorization/policyExemptions/write exempt/Action de doeltoewijzing hebben.

Volgende stappen

Meer informatie over de structuur van beleidsdefinitie.
Begrijpen hoe u programmatisch beleid kunt maken.
Meer informatie over het op halen van nalevingsgegevens.
Ontdek hoe u niet-compatibele resources kunt herstellen.
Bekijk wat een beheergroep is met Uw resources organiseren met Azure-beheergroepen.