Compreender o âmbito na Política do Azure
Há muitas configurações que determinam quais recursos podem ser avaliados e quais recursos são avaliados pela Política do Azure. O conceito principal para esses controles é o escopo. O escopo na Política do Azure é baseado em como o escopo funciona no Gerenciador de Recursos do Azure. Para obter uma visão geral de alto nível, consulte Escopo no Gerenciador de Recursos do Azure.
Este artigo explica a importância do escopo na Política do Azure e seus objetos e propriedades relacionados.
Localização da definição
O escopo da primeira instância usado pela Política do Azure é quando uma definição de política é criada. A definição pode ser salva em um grupo de gerenciamento ou em uma assinatura. A localização determina o âmbito ao qual a iniciativa ou política pode ser atribuída. Os recursos devem estar dentro da hierarquia de recursos do local de definição a ser direcionado para atribuição. Os recursos cobertos pela Política do Azure descrevem como as políticas são avaliadas.
Se a localização da definição for uma:
- Subscrição - A subscrição em que a política é definida e os recursos dentro dessa subscrição podem ser atribuídos à definição da política.
- Grupo de gerenciamento - O grupo de gerenciamento onde a política é definida e os recursos dentro de grupos de gerenciamento filho e assinaturas filho podem ser atribuídos à definição de política. Se você planeja aplicar a definição de política a várias assinaturas, o local deve ser um grupo de gerenciamento que contenha cada assinatura.
O local deve ser o contêiner de recursos compartilhado por todos os recursos que você deseja usar a definição de política existente. Esse contêiner de recursos normalmente é um grupo de gerenciamento próximo ao grupo de gerenciamento raiz.
Escopos de atribuição
Uma atribuição tem várias propriedades que definem um escopo. O uso dessas propriedades determina qual recurso a Política do Azure deve ser avaliado e quais recursos contam para a conformidade. Essas propriedades são mapeadas para os seguintes conceitos:
Inclusão - Uma hierarquia de recursos ou recurso individual deve ser avaliado quanto à conformidade pela definição. A
properties.scopepropriedade em um objeto de atribuição determina o que incluir e avaliar para fins de conformidade. Para obter mais informações, consulte Definição de atribuição.Exclusão - Uma hierarquia de recursos ou um recurso individual não deve ser avaliado quanto à conformidade pela definição. A
properties.notScopespropriedade array em um objeto de atribuição determina o que excluir. Os recursos dentro desses escopos não são avaliados ou incluídos na contagem de conformidade. Para obter mais informações, consulte Definição de atribuição - escopos excluídos.
Além das propriedades na atribuição de política, é o objeto de isenção de política. As isenções aumentam a história do escopo, fornecendo um método para identificar uma parte de uma atribuição a ser não avaliada.
Isenção - Uma hierarquia de recursos ou recurso individual deve ser avaliado quanto à conformidade pela definição, mas não será avaliado por um motivo como ter uma renúncia ou ser mitigado por meio de outro método. Os recursos neste estado aparecem como Isentos em relatórios de conformidade para que possam ser rastreados. O objeto de isenção é criado na hierarquia de recursos ou recurso individual como um objeto filho, que determina o escopo da isenção. Uma hierarquia de recursos ou um recurso individual pode ser isento de várias atribuições. A isenção pode ser configurada para expirar em um cronograma usando a
expiresOnpropriedade. Para obter mais informações, consulte Definição de isenção.Nota
Devido ao impacto da concessão de uma isenção para uma hierarquia de recursos ou recurso individual, as isenções têm medidas de segurança adicionais. Além de exigir a
Microsoft.Authorization/policyExemptions/writeoperação na hierarquia de recursos ou recurso individual, o criador de uma isenção deve ter o verboexempt/Actionna atribuição de destino.
Comparação do âmbito de aplicação
A tabela a seguir é uma comparação das opções de escopo:
| Inclusão | Exclusão (notScopes) | Isenção | |
|---|---|---|---|
| Os recursos são avaliados | ✔ | - | - |
| Objeto do Gerenciador de Recursos | - | - | ✔ |
| Requer a modificação do objeto de atribuição de política | ✔ | ✔ | - |
Então, como escolher se deseja usar uma exclusão ou isenção? Normalmente, as exclusões são recomendadas para ignorar permanentemente a avaliação para um escopo amplo, como um ambiente de teste que não requer o mesmo nível de governança. As isenções são recomendadas para cenários limitados no tempo ou mais específicos em que um recurso ou hierarquia de recursos ainda deve ser rastreado e seria avaliado, mas há um motivo específico pelo qual ele não deve ser avaliado quanto à conformidade.
Próximos passos
- Saiba mais sobre a estrutura de definição de políticas.
- Entenda como criar políticas de forma programática.
- Saiba como obter dados de conformidade.
- Saiba como corrigir recursos não compatíveis.
- Analise o que é um grupo de gerenciamento com Organize seus recursos com grupos de gerenciamento do Azure.