Estado de conformidade do Azure Policy
Como funciona a conformidade
Quando as definições de iniciativa ou política são atribuídas, o Azure Policy determina quais recursos são aplicáveis e avalia aqueles que não foram excluídos ou isentos. A avaliação produz estados de conformidade com base nas condições da regra de política e na adesão de cada recurso a esses requisitos.
Estados de conformidade disponíveis
Sem conformidade
As atribuições de política com efeitos audit, auditIfNotExists ou modify são consideradas fora de conformidade com recursos novos, atualizados ou existentes quando as condições da regra de política são avaliadas como TRUE.
As atribuições de política com efeitos append, deny edeployIfNotExists são consideradas fora de conformidade com recursos existentes quando as condições da regra de política são avaliadas como TRUE. Recursos novos e atualizados são corrigidos ou negados automaticamente no momento da solicitação para impor a conformidade. Quando um recurso previamente existente que está fora de conformidade é atualizado, o estado de conformidade permanece fora de conformidade até que a implantação do recurso e a avaliação da política sejam concluídas.
Observação
Os efeitos DeployIfNotExist e AuditIfNotExist exigem que a instrução IF seja TRUE e a condição de existência seja FALSE para não estar em conformidade. Quando TRUE, a condição IF dispara a avaliação da condição de existência para os recursos relacionados.
As atribuições de política com efeitos manual são consideradas fora de conformidade em duas circunstâncias:
- A definição de política tem um estado de conformidade padrão de não conformidade e não há atestado ativo para o recurso aplicável declarando o contrário.
- O recurso foi atestado como fora de conformidade.
Para determinar o motivo pelo qual um recurso não está em conformidade ou para localizar a alteração responsável, consulte Determinar a não conformidade. Para corrigir recursos que estão fora de conformidade para políticas deployIfNotExists e modify , confira Corrigir recursos que não estão em conformidade com o Azure Policy.
Em conformidade
As atribuições de política com efeitos append, audit, auditIfNotExists, deny, deployIfNotExists ou modify são consideradas fora de conformidade com recursos novos, atualizados ou existentes quando as condições da regra de política são avaliadas como FALSE.
As atribuições de política com efeitos manual são consideradas em conformidade em duas circunstâncias:
- A definição de política tem um estado de conformidade padrão e não há atestado ativo para o recurso aplicável declarando o contrário.
- O recurso foi atestado como em conformidade.
Erro
O estado de conformidade do erro é dado a atribuições de política que geram um erro no sistema, como modelo ou erro de avaliação.
conflitante
Uma atribuição de política é considerada conflitante quando há duas ou mais atribuições de política existentes no mesmo escopo com regras conflitantes ou contraditórias. Por exemplo, duas definições que acrescentam a mesma tag com valores diferentes.
Isento
Um recurso aplicável possui um estado de conformidade isento para uma atribuição de política quando está no escopo de uma isenção.
Observação
Isento é diferente de excluído. Para obter mais detalhes, confira o escopo.
Desconhecido
Desconhecido é o estado de conformidade padrão para definições com efeito manual, a menos que o padrão tenha sido explicitamente definido como em conformidade ou fora de conformidade. Esse estado indica que um atestado de conformidade é garantido. Esse estado de conformidade só ocorre para atribuições de política com efeito manual.
Protegido
O estado protegido significa que o recurso é coberto em uma atribuição com um efeito denyAction.
Não registrado
Esse estado de conformidade é visível no portal quando o Provedor de Recursos do Azure Policy não foi registrado ou quando a conta conectada não tem permissão para ler dados de conformidade.
Observação
Se o estado de conformidade estiver sendo relatado como Não registrado, verifique se o Provedor de Recursos Microsoft.PolicyInsights está registrado e se o usuário tem as permissões apropriadas de controle de acesso baseado em função (Azure RBAC) descritas em Permissões do Azure RBAC no Azure Policy. Para registrar o Microsoft.PolicyInsights, siga estas etapas.
Não iniciado
Esse estado de conformidade indica que o ciclo de avaliação não foi iniciado na política ou no recurso.
Exemplo
Agora que você tem uma compreensão de quais estados de conformidade existem e o que cada um deles significa, vamos examinar um exemplo usando estados que estão em conformidade e fora de conformidade.
Suponha que você tenha um grupo de recursos – ContosoRG, com algumas contas de armazenamento (realçadas em vermelho) que são expostas para redes públicas.
Diagrama mostrando imagens de cinco contas de armazenamento no grupo de recursos Contoso R G. As contas de armazenamento um e três são azuis, enquanto as contas de armazenamento dois, quatro e cinco são vermelhas.
Neste exemplo, você precisa estar atento aos riscos de segurança. Imagine que você atribua uma definição de política que audite contas de armazenamento expostas a redes públicas e que nenhuma isenção seja criada para essa atribuição. A política verifica se há recursos aplicáveis (que incluem todas as contas de armazenamento no grupo de recursos ContosoRG) e avalia os recursos que não foram excluídos da avaliação. É responsável por auditar as três contas de armazenamento expostas a redes públicas, alterando seus estados de conformidade para fora de conformidade. O restante está marcado como em conformidade.
Diagrama mostrando imagens de cinco contas de armazenamento no grupo de recursos Contoso R G. As contas de armazenamento um e três agora têm marcas de seleção verdes abaixo delas, enquanto as contas de armazenamento dois, quatro e cinco agora têm sinais de aviso vermelhos abaixo delas.
Acumulação de conformidade
O estado de conformidade é determinado por recurso e por atribuição de política. No entanto, muitas vezes precisamos de uma visão geral do estado do ambiente, que é onde a conformidade agregada entra em ação.
Há várias maneiras de exibir os resultados da conformidade agregada no portal:
| Exibição de conformidade agregada | Fatores que determinam o estado de conformidade |
|---|---|
| Escopo | Todas as políticas dentro do escopo selecionado |
| Iniciativa | Todas as políticas dentro da iniciativa |
| Grupo de iniciativas ou controle | Todas as políticas dentro do grupo ou controle |
| Política | Todos os recursos aplicáveis |
| Recurso | Todas as políticas aplicáveis |
Comparando diferentes estados de conformidade
Então, como o estado de conformidade agregado é determinado se vários recursos ou políticas têm estados de conformidade diferentes? O Azure Policy classifica cada estado de conformidade para que um "ganhe" sobre outro nessa situação. A ordem de classificação é:
- Sem conformidade
- Em conformidade
- Erro
- conflitante
- Protegido (versão prévia)
- Isentas
- Desconhecido (versão prévia)
Observação
Não iniciado e não registrado não são considerados nos cálculos de valor acumulado da conformidade.
Com essa classificação, se houver estados que estão fora conformidade e em conformidade, o agregado acumulado estará fora de conformidade e assim por diante. Vejamos um exemplo:
Suponha que uma iniciativa contenha 10 políticas e que um recurso esteja isento de uma política, mas em conformidade com as nove restantes. Como um estado em conformidade tem uma classificação mais alta do que um estado isento, o recurso seria registrado como compatível no resumo acumulado da iniciativa. Portanto, um recurso só aparece como isento para toda a iniciativa se ele estiver isento ou sua conformidade for desconhecida em todas as outras políticas aplicáveis nessa iniciativa. Por outro lado, um recurso que não está em conformidade com pelo menos uma política aplicável na iniciativa tem um estado de conformidade geral de não conformidade, independentemente das políticas aplicáveis restantes.
Percentual de conformidade
A porcentagem de conformidade é determinada pela divisão de recursos Compatíveis, Isentos e Desconhecidos pelo total de recursos. O total de recursos inclui recursos com os estados Em conformidade, Sem conformidade, Desconhecido, Isento, Conflito e Erro.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Na imagem mostrada, existem 20 recursos distintos que são aplicáveis e apenas um está Fora de conformidade. A conformidade geral do recurso é 95 (19 de 20).
Próximas etapas
- Saiba como obter dados de conformidade
- Saiba como determinar as causas de não conformidade
- Obtenha dados de conformidade por meio dos exemplos de consulta ARG