struktura wykluczania Azure Policy

Funkcja wykluczania Azure Policy służy do wykluczania hierarchii zasobów lub pojedynczego zasobu z oceny inicjatyw lub definicji. Zasoby, które są zwolnione z liczenia w stosunku do ogólnej zgodności, ale nie można ich ocenić lub mieć tymczasowego zwolnienia. Aby uzyskać więcej informacji, zobacz Opis zakresu w Azure Policy. Azure Policy wyjątki działają tylko z trybami Resource Manager i nie działają z trybami dostawcy zasobów.

Aby utworzyć wykluczenie z zasad, należy użyć języka JavaScript Object Notation (JSON). Wykluczenie z zasad zawiera elementy dla:

  • nazwa wyświetlana
  • description (opis)
  • metadane
  • przypisanie zasad
  • definicje zasad w ramach inicjatywy
  • kategoria wykluczenia
  • Wygaśnięcia

Uwaga

Wykluczenie z zasad jest tworzone jako obiekt podrzędny w hierarchii zasobów lub pojedynczy zasób przyznał wykluczenie, więc obiekt docelowy nie jest uwzględniony w definicji wykluczenia.

Na przykład poniższy kod JSON przedstawia wykluczenie z zasad w kategorii zwolnienia zasobu do przypisania inicjatywy o nazwie resourceShouldBeCompliantInit. Zasób jest wykluczony tylko z dwóch definicji zasad w inicjatywie, customOrgPolicy niestandardowej definicji zasad (odwołanie requiredTags) i definicji zasad wbudowanych Dozwolone lokalizacje (identyfikator: e56962a6-4747-49cd-b67b-bf8b01975c4c, odwołanie allowedLocations):

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "apiVersion": "2020-07-01-preview",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

Fragment powiązanej inicjatywy z dopasowaniem policyDefinitionReferenceIds używanym przez wykluczenie z zasad:

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Nazwa wyświetlana i opis

Nazwa wyświetlana i opis służą do identyfikowania wykluczenia z zasad i podawania kontekstu do użycia z określonym zasobem. displayName ma maksymalną długość 128 znaków i opis maksymalnie 512 znaków.

Metadane

Właściwość metadanych umożliwia utworzenie dowolnej właściwości podrzędnej potrzebnej do przechowywania odpowiednich informacji. W powyższym przykładzie właściwości żądane przez, approvedBy, approvedOn i ticketRef zawierają wartości klientów w celu dostarczenia informacji o tym, kto zażądał zwolnienia, kto go zatwierdził i kiedy oraz wewnętrzny bilet śledzenia dla żądania. Te właściwości metadanych są przykładami, ale nie są wymagane, a metadane nie są ograniczone do tych właściwości podrzędnych .

Identyfikator przypisania zasad

To pole musi być pełną nazwą ścieżki przypisania zasad lub przypisania inicjatywy. policyAssignmentId jest ciągiem, a nie tablicą. Ta właściwość określa, z którego przydziału jest wyłączona hierarchia zasobów nadrzędnych lub pojedynczy zasób.

Identyfikatory definicji zasad

policyAssignmentId Jeśli element jest przeznaczony do przypisania inicjatywy, właściwość policyDefinitionReferenceIds może służyć do określenia definicji zasad w inicjatywie, do której zasobu podmiotu ma wykluczenie. Ponieważ zasób może być wykluczony z co najmniej jednej dołączonej definicji zasad, ta właściwość jest tablicą. Wartości muszą być zgodne z wartościami w definicji inicjatywy w polach policyDefinitions.policyDefinitionReferenceId .

Kategoria wykluczenia

Istnieją dwie kategorie wykluczeń i są używane do grupowania wykluczeń:

  • Rozwiązano problem: udzielono wykluczenia, ponieważ intencja zasad jest spełniona za pomocą innej metody.
  • Zwolnienie: Zwolnienie jest przyznawane, ponieważ stan niezgodności zasobu jest tymczasowo akceptowany. Innym powodem użycia tej kategorii jest hierarchia zasobów lub zasobów, która powinna zostać wykluczona z jednej lub większej liczby definicji w inicjatywie, ale nie powinna być wykluczona z całej inicjatywy.

Wygaśnięcie

Aby ustawić, gdy hierarchia zasobów lub pojedynczy zasób nie jest już wykluczony z przypisania, ustaw właściwość expiresOn . Ta opcjonalna właściwość musi być w formacie yyyy-MM-ddTHH:mm:ss.fffffffZUniversal ISO 8601 DateTime.

Uwaga

Wykluczenia z zasad nie są usuwane po expiresOn osiągnięciu daty. Obiekt jest zachowywany do przechowywania rekordów, ale wykluczenie nie jest już honorowane.

Wymagane uprawnienia

Uprawnienia RBAC platformy Azure wymagane do zarządzania obiektami wykluczania zasad znajdują się Microsoft.Authorization/policyExemptions w grupie operacji. Wbudowane role Współautor zasad zasobów i Zabezpieczenia Administracja zarówno mają read uprawnienia i, jak i writezasady Szczegółowe informacje zapisywania danych (wersja zapoznawcza) ma read uprawnienie.

Wykluczenia mają dodatkowe środki bezpieczeństwa ze względu na wpływ przyznania zwolnienia. Poza wymaganiem Microsoft.Authorization/policyExemptions/write operacji w hierarchii zasobów lub pojedynczym zasobie twórca wykluczenia musi mieć exempt/Action czasownik w przypisaniu docelowym.

Następne kroki