Azure Policy undantagsstruktur

Funktionen Azure Policy undantag (förhandsversion) används för att undanta en resurshierarki eller en enskild resurs från utvärdering av initiativ eller definitioner. Resurser som är undantagna räknas mot övergripande efterlevnad, men som inte kan utvärderas eller har en tillfällig åtgärd. Mer information finns i Förstå omfånget i Azure Policy. Azure Policy fungerar bara med Resource Manager och fungerar inte med resursproviderlägena.

Viktigt

Den här funktionen är kostnadsfri under förhandsversionen. Prisinformation finns i Azure Policy priser. Mer information om förhandsversioner finns i Kompletterande användningsvillkor för Microsoft Azure förhandsversioner.

Du använder JSON för att skapa ett principundantag. Principundantaget innehåller element för:

  • visningsnamn
  • beskrivning
  • metadata
  • principtilldelning
  • principdefinitioner inom ett initiativ
  • undantagskategori
  • Förfallodagen

Anteckning

Ett principundantag skapas som ett underobjekt i resurshierarkin eller den enskilda resurs som beviljats undantaget, så målet ingår inte i undantagsdefinitionen.

Följande JSON visar till exempel ett principundantag i kategorin för en resurs till en initiativtilldelning med namnet resourceShouldBeCompliantInit . Resursen är undantagen från endast två av principdefinitionerna i initiativet, den anpassade principdefinitionen (referens ) och den inbyggda principdefinitionen customOrgPolicy "Tillåtna requiredTags platser" (ID: e56962a6-4747-49cd-b67b-bf8b01975c4c , referens allowedLocations ):

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

Kodfragment för det relaterade initiativet med policyDefinitionReferenceIds matchningen som används av principundantaget:

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Visningsnamn och beskrivning

Du använder displayName och beskrivning för att identifiera principundantaget och ange kontext för dess användning med den specifika resursen. displayName har en maximal längd på 128 tecken och en beskrivning på högst 512 tecken.

Metadata

Metadataegenskapen gör att du kan skapa en underordnad egenskap som behövs för att lagra relevant information. I exemplet ovan innehåller egenskaperna requestedBy, approvedBy, approvedOn och ticketRef kundvärden för att ange information om vem som begärde undantaget, vem som godkände det och när samt en intern spårningsbiljett för begäran. Dessa metadataegenskaper är exempel, men de är inte obligatoriska och metadata är inte begränsade till dessa underordnade egenskaper.

Principtilldelnings-ID

Det här fältet måste vara det fullständiga sökvägsnamnet för antingen en principtilldelning eller en initiativtilldelning. policyAssignmentId är en sträng och inte en matris. Den här egenskapen definierar vilken tilldelning som den överordnade resurshierarkin eller enskilda resurser är undantagna från.

Principdefinitions-ID:er

Om är för en initiativtilldelning kan egenskapen användas för att ange vilka principdefinitioner i initiativet som policyAssignmentId policyDefinitionReferenceIds ämnesresursen har ett undantag till. Eftersom resursen kan undantas från en eller flera inkluderade principdefinitioner är den här egenskapen en matris. Värdena måste matcha värdena i initiativdefinitionen i policyDefinitions.policyDefinitionReferenceId fälten.

Undantagskategori

Det finns två undantagskategorier som används för att gruppera undantag:

  • Åtgärdad: Undantaget beviljas eftersom princip avsikten uppfylls via en annan metod.
  • Undantag: Undantaget beviljas eftersom resursens icke-kompatibilitetstillstånd tillfälligt godkänns. Ett annat skäl till att använda den här kategorin är för en resurs- eller resurshierarki som ska undantas från en eller flera definitioner i ett initiativ, men som inte bör undantas från hela initiativet.

Förfallodatum

Ange när en resurshierarki eller en enskild resurs inte längre ska undantas från en tilldelning genom att ange expiresOn egenskapen . Den här valfria egenskapen måste vara i Universal ISO 8601 DateTime-format. yyyy-MM-ddTHH:mm:ss.fffffffZ

Anteckning

Principundantag tas inte bort när expiresOn datumet nås. Objektet bevaras för registerhållning, men undantaget tillämpas inte längre.

Behörigheter som krävs

De Azure RBAC-behörigheter som krävs för att hantera principundantagsobjekt finns Microsoft.Authorization/policyExemptions i åtgärdsgruppen. De inbyggda rollerna Resursprincipdeltagare och Säkerhetsadministratör har både behörigheterna och read write principrollerna Insights Data Writer (förhandsversion) har read behörigheten .

Undantag har extra säkerhetsåtgärder på grund av effekten av att bevilja ett undantag. Utöver att kräva åtgärden i resurshierarkin eller den enskilda resursen måste skaparen av ett Microsoft.Authorization/policyExemptions/write undantag ha exempt/Action verbet för måltilldelningen.

Nästa steg