Общие сведения о Политике Azure
Существует множество параметров, которые определяют, какие ресурсы могут быть оценены и какие ресурсы оцениваются политикой Azure. Основным термином для этих элементов управления является область. Область в политике Azure определяется в зависимости от того, как она работает в Azure Resource Manager. Общий обзор см. в разделе Область в Azure Resource Manager.
В этой статье объясняется, какую роль играет термин область в политике Azure, а также связанные с ней объекты и свойства.
Расположение определения
Первая область экземпляра, используемая политикой Azure, — это время создания определения политики. Определение может быть сохранено либо в группе управления, либо в подписке. Расположение указывает область, которой можно назначить инициативу или политику. Ресурсы должны находиться внутри иерархии расположения определения для назначения. Ресурсы, охватываемые Политика Azure, описывают, как оцениваются политики.
Если расположение определения является
- Подписка — подписка, в которой определена политика и ресурсы в этой подписке, можно назначить определение политики.
- Группа управления — группа управления, в которой определена политика, и ресурсы в дочерних группах управления и дочерних подписках можно назначить определение политики. Если вы планируете применять определение политики к нескольким подпискам, расположение должно быть группой управления, содержащей каждую подписку.
Расположение должно быть контейнером ресурсов, совместно используемым всеми ресурсами, для которых вы хотите использовать определение политики. Такой контейнер ресурсов обычно является группой управления, расположенной рядом с корневой группой управления.
Области назначения
Назначение имеет несколько свойств, которые задают область. Использование этих свойств определяет, какой ресурс для политики Azure будет оцениваться и какие ресурсы учитываются для соответствия. Эти свойства соответствуют следующим понятиям.
Включение — иерархия ресурсов или отдельного ресурса должна оцениваться в соответствии с определением.
properties.scopeСвойство объекта назначения определяет, какие объекты необходимо включить и оценивать для обеспечения соответствия. Дополнительные сведения см. в разделе Определение назначения.Исключение — иерархия ресурсов или отдельного ресурса не должна оцениваться в соответствии с определением. Свойство
properties.notScopesМассив объекта назначения определяет, что следует исключить. Ресурсы в этих областях не оцениваются и не входят в число соответствий. Дополнительные сведения см. в разделе Определения назначения — исключенные области.
В дополнение к свойствам назначения политики это объект исключение политики. Исключения улучшают историю области, предоставляя метод для определения части назначения, которая не должна оцениваться.
Исключение — иерархия ресурсов или отдельный ресурс должны оцениваться в соответствии с определением, но не будут оцениваться в случае отказа или устранения с помощью другого метода. Ресурсы в этом состоянии отображаются как Исключенные в отчетах о соответствии, чтобы их можно было отслеживать. Объект исключения создается в иерархии ресурсов или отдельном ресурсе как дочерний объект, который определяет область исключения. Иерархию ресурсов или отдельный ресурс можно исключить из нескольких назначений. Для исключения можно указать срок действия по расписанию с помощью свойства
expiresOn. Дополнительные сведения см. в разделе Определение исключения.Примечание.
Из-за влияния предоставления исключения для иерархии ресурсов или отдельного ресурса для исключений используются дополнительные меры безопасности. Помимо выполнения операции
Microsoft.Authorization/policyExemptions/writeс иерархией ресурсов или отдельным ресурсом, создатель исключения должен использовать командуexempt/Actionв целевом назначении.
Сравнение областей
В следующей таблице представлено сравнение двух вариантов областей:
| Включение | Исключение (не область) | Исключение | |
|---|---|---|---|
| Ресурсы оцениваются | ✔ | - | - |
| Объект Resource Manager | - | - | ✔ |
| Требуется изменение объекта назначения политики | ✔ | ✔ | - |
Так как выбрать, следует ли использовать исключение или исключение? Как правило, исключения рекомендуется постоянно обходить оценку для широкого область, например тестовой среды, которая не требует того же уровня управления. Исключения рекомендуется использовать для определенных сценариев с привязкой времени или более конкретных сценариев, когда необходимо отслеживать ресурсы или иерархию ресурсов и в противном случае оценивать их, но есть определенная причина, по которой она не должна оцениваться для соответствия требованиям.
Следующие шаги
- Узнайте больше о структуре определения политик.
- Узнайте о программном создании политик.
- Узнайте, как получать данные о соответствии.
- Узнайте, как исправлять несоответствующие ресурсы.
- Дополнительные сведения о группе управления см. в статье Упорядочивание ресурсов с помощью групп управления Azure.