Azure İlkesi muafiyet yapısı

Kaynak Azure İlkesi (önizleme) özelliği, bir kaynak hiyerarşisini veya tek bir kaynağı girişimlerin veya tanımların değerlendirilmesini muaf etmek için kullanılır. Genel uyumluluk için muaf olan ancak değerlendirilemeyen veya geçici bir feragat edilemeyen kaynaklar. Daha fazla bilgi için bkz. Azure İlkesi. Azure İlkesi muafiyetler yalnızca Resource Manager modlarla çalışır ve Kaynak Sağlayıcısı modlarında çalışmaz.

İlke muafiyeti oluşturmak için JSON kullanırsiniz. İlke muafiyeti şunların öğelerini içerir:

• görünen ad
• açıklama
• meta veriler
• ilke ataması
• girişim içindeki ilke tanımları
• muafiyet kategorisi
• Sona erme

Örneğin, aşağıdaki JSON bir kaynağın waiver kategorisinde adlı girişim ataması için ilke muafiyetini resourceShouldBeCompliantInit gösterir. Kaynak, girişimdeki özel ilke tanımı (başvuru) ve 'İzin verilen konumlar' yerleşik ilke tanımı customOrgPolicy (KIMLIK: , başvuru) olmak üzere yalnızca iki ilke tanımından requiredTags e56962a6-4747-49cd-b67b-bf8b01975c4c allowedLocations muaftır:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.Authorization/policyExemptions/resourceIsNotApplicable",
    "name": "resourceIsNotApplicable",
    "type": "Microsoft.Authorization/policyExemptions",
    "properties": {
        "displayName": "This resource is scheduled for deletion",
        "description": "This resources is planned to be deleted by end of quarter and has been granted a waiver to the policy.",
        "metadata": {
            "requestedBy": "Storage team",
            "approvedBy": "IA",
            "approvedOn": "2020-07-26T08:02:32.0000000Z",
            "ticketRef": "4baf214c-8d54-4646-be3f-eb6ec7b9bc4f"
        },
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds": [
            "requiredTags",
            "allowedLocations"
        ],
        "exemptionCategory": "waiver",
        "expiresOn": "2020-12-31T23:59:00.0000000Z"
    }
}

İlke muafiyeti tarafından kullanılan eşleşen policyDefinitionReferenceIds ile ilgili girişimin kod parçacığı:

"policyDefinitions": [
    {
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/customOrgPolicy",
        "policyDefinitionReferenceId": "requiredTags",
        "parameters": {
            "reqTags": {
                "value": "[parameters('init_reqTags')]"
            }
        }
    },
    {
        "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/e56962a6-4747-49cd-b67b-bf8b01975c4c",
        "policyDefinitionReferenceId": "allowedLocations",
        "parameters": {
            "listOfAllowedLocations": {
                "value": "[parameters('init_listOfAllowedLocations')]"
            }
        }
    }
]

Görünen ad ve açıklama

İlke muafiyetini tanımlamak ve belirli bir kaynakla kullanımı için bağlam sağlamak için displayName ve description kullanırsiniz. displayName en fazla 128 karakter, açıklama ise en fazla 512 karakter uzunluğundadır.

Meta veri

Meta veri özelliği, ilgili bilgileri depolamak için gereken herhangi bir alt özelliğin oluşturulmasına olanak sağlar. Yukarıdaki örnekte requestedBy, approvedBy, approvedOn ve ticketRef özellikleri, muafiyeti kimin, kimin ne zaman ve ne zaman onayladlı olarak bilgi sağlamak için müşteri değerlerini ve istek için iç izleme biletini içerir. Bu meta veri özellikleri örnektir, ancak gerekli değildir ve meta veriler bu alt özelliklerle sınırlı değildir.

İlke atama kimliği

Bu alan, bir ilke ataması veya girişim ataması için tam yol adı olması gerekir. policyAssignmentId bir dizi değil bir dizedir. Bu özellik, üst kaynak hiyerarşisinin veya tek tek kaynağın hangi atamadan muaf tutulacaklarını tanımlar.

İlke tanımı kimlikleri

bir girişim ataması içinse, özelliği, konu kaynağının girişimde hangi ilke tanımlarını muafiyete sahip policyAssignmentId policyDefinitionReferenceIds olduğunu belirtmek için kullanılabilir. Kaynak, dahil edilen bir veya daha fazla ilke tanımından muaf tutulana kadar bu özellik bir dizisidir. Değerler, alanlardaki girişim tanımında yer alan değerlerle policyDefinitions.policyDefinitionReferenceId eşleşmeli.

Muafiyet kategorisi

İki muafiyet kategorisi vardır ve muafiyetleri gruplamak için kullanılır:

• Hafifletildi: İlke amacı başka bir yöntem aracılığıyla karşılandı olduğundan muafiyet izni verildi.
• Muafiyet: Kaynağın uyumluluk durumu geçici olarak kabul edilmeye devam etme nedeniyle muafiyet izni verildi. Bu kategoriyi kullanmanın bir diğer nedeni de bir girişimdeki bir veya daha fazla tanımın dışında tutulacak ancak girişimin tamamına dahil olmaması gereken bir kaynak veya kaynak hiyerarşisi olabilir.

Bitiş tarihi

Bir kaynak hiyerarşisinin veya tek bir kaynağın artık atamadan muaf olmadığı zamanları ayarlamak için özelliğini expiresOn ayarlayın. Bu isteğe bağlı özellik Evrensel ISO 8601 DateTime biçiminde yyyy-MM-ddTHH:mm:ss.fffffffZ olmalıdır.

Gerekli izinler

İlke muafiyeti nesnelerini yönetmek için gereken Azure RBAC izinleri işlem Microsoft.Authorization/policyExemptions grubundadır. Kaynak İlkesi Katkıda Bulunanı ve Güvenlik Yöneticisi'nin yerleşik rolleri ve veri yazıcı read write (Önizleme) Analizler İlke izinleri read vardır.

Muafiyet verilmesinin etkisi nedeniyle muafiyetler ek güvenlik önlemlerine sahip olur. Kaynak hiyerarşisinde veya tek tek kaynakta işlemi gerektirmenin ötesinde, muafiyeti oluşturanın hedef Microsoft.Authorization/policyExemptions/write exempt/Action atamada fiili olmalıdır.

Sonraki adımlar

• İlke tanımı yapısı hakkında bilgi öğrenin.
• Program aracılığıyla ilke oluşturma hakkında bilgi.
• Uyumluluk verilerini nasıl edinebilirsiniz?
• Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
• Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile bir yönetim grubunun ne olduğunu gözden geçirme.