Förstå omfånget i Azure Policy

Det finns många inställningar som avgör vilka resurser som kan utvärderas och vilka resurser som utvärderas av Azure Policy. Det primära konceptet för dessa kontroller är omfånget. Omfånget i Azure Policy baseras på hur omfånget fungerar i Azure Resource Manager. En översikt på hög nivå finns i Omfång i Azure Resource Manager. Den här artikeln förklarar vikten av omfång i Azure Policy och dess relaterade objekt och egenskaper.

Definitionsplats

Det första instansomfånget som används Azure Policy är när en principdefinition skapas. Definitionen kan sparas antingen i en hanteringsgrupp eller i en prenumeration. Platsen avgör vilket omfång initiativet eller principen kan tilldelas. Resurserna måste finnas i resurshierarkin för den definitionsplats som ska vara mål för tilldelningen.

Om definitionens plats är:

  • Prenumeration – Endast resurser i prenumerationen kan tilldelas principdefinitionen.
  • Hanteringsgrupp – Endast resurser i underordnade hanteringsgrupper och underordnade prenumerationer kan tilldelas principdefinitionen. Om du planerar att tillämpa principdefinitionen på flera prenumerationer måste platsen vara en hanteringsgrupp som innehåller varje prenumeration.

Platsen ska vara den resurscontainer som delas av alla resurser som du vill använda principdefinitionen på finns. Den här resurscontainern är vanligtvis en hanteringsgrupp nära rothanteringsgruppen.

Tilldelningsomfång

En tilldelning har flera egenskaper som anger ett omfång. Användningen av dessa egenskaper avgör vilken resurs som Azure Policy utvärdera och vilka resurser som räknas mot efterlevnad. Dessa egenskaper mappar till följande begrepp:

  • Inkludering – En resurshierarki eller enskild resurs bör utvärderas för kompatibilitet med definitionen. Egenskapen properties.scope för ett tilldelningsobjekt avgör vad som ska inkluderas och utvärderas för kompatibilitet. Mer information finns i Tilldelningsdefinition.

  • Exkludering – en resurshierarki eller enskild resurs bör inte utvärderas för kompatibilitet av definitionen. properties.notScopes Matrisegenskapen för ett tilldelningsobjekt avgör vad som ska undantas. Resurser inom dessa omfång utvärderas inte eller ingår inte i kompatibilitetsantalet. Mer information finns i Tilldelningsdefinition – undantagna omfång.

Förutom egenskaperna för principtilldelningen är principundantagsobjektet. Undantag förbättrar omfångsberättelsen genom att tillhandahålla en metod för att identifiera en del av en tilldelning som inte ska utvärderas.

  • Undantag ( kostnadsfri förhandsversionsfunktion) – En resurshierarki eller enskild resurs bör utvärderas för efterlevnad enligt definitionen, men utvärderas inte av en anledning, till exempel att en resurs är skadad eller att den minimeras med hjälp av en annan metod. Resurser i det här tillståndet visas som Undantagna i efterlevnadsrapporter så att de kan spåras. Undantagsobjektet skapas i resurshierarkin eller en enskild resurs som ett underobjekt, vilket avgör undantagets omfattning. En resurshierarki eller en enskild resurs kan undantas från flera tilldelningar. Undantaget kan konfigureras att upphöra att gälla enligt ett schema med hjälp av expiresOn egenskapen . Mer information finns i Undantagsdefinition.

    Anteckning

    På grund av effekten av att bevilja ett undantag för en resurshierarki eller en enskild resurs har undantag ytterligare säkerhetsåtgärder. Förutom att kräva åtgärden i resurshierarkin eller den enskilda resursen måste skaparen av ett undantag Microsoft.Authorization/policyExemptions/write ha exempt/Action verbet på måltilldelningen.

Jämförelse av omfång

Följande tabell är en jämförelse av omfångsalternativen:

Införandet Exkludering (notScopes) Undantag
Resurser utvärderas - -
Resource Manager objekt - -
Kräver ändring av principtilldelningsobjekt -

Nästa steg