Uygulamanın kapsamını Azure İlkesi
Hangi kaynakların değerlendirilebileceklerini ve hangi kaynakların kaynak tarafından değerlendirileceklerini belirleyen birçok ayar Azure İlkesi. Bu denetimler için birincil kavram kapsamıdır. Kapsam Azure İlkesi, kapsamda nasıl çalıştığını temel Azure Resource Manager. Üst düzey bir genel bakış için bkz. Azure Resource Manager. Bu makalede, kapsamla ilgili Azure İlkesi ve özellikleri açıklanmıştır.
Tanım konumu
İlke tarafından kullanılan ilk örnek Azure İlkesi bir ilke tanımı oluşturulduğunda kullanılır. Tanım bir yönetim grubuna veya aboneliğe kaydedilebilir. Konum, girişimin veya ilkenin atanma kapsamını belirler. Kaynaklar, atama için hedef tanım konumunun kaynak hiyerarşisinde olmalıdır.
Tanım konumu bir ise:
- Abonelik - Yalnızca bu abonelik içindeki kaynaklara ilke tanımı atanabilir.
- Yönetim grubu - İlke tanımına yalnızca alt yönetim grupları ve alt abonelikler içindeki kaynaklar atanabilir. İlke tanımını birkaç aboneliğe uygulamayı planlıyorsanız, konumun her aboneliği içeren bir yönetim grubu olması gerekir.
Konum, ilke tanımını kullanmak istediğiniz tüm kaynaklar tarafından paylaşılan kaynak kapsayıcısı olması gerekir. Bu kaynak kapsayıcısı genellikle kök yönetim grubunun yakınındaki bir yönetim grubu olabilir.
Atama kapsamları
Atama, kapsamı ayaran çeşitli özelliklere sahiptir. Bu özelliklerin kullanımı, değerlendirme için hangi kaynağın Azure İlkesi ve hangi kaynakların uyumluluk için sayılacağı belirler. Bu özellikler aşağıdaki kavramlarla eşler:
Dahil etme - Kaynak hiyerarşisi veya tek bir kaynak, tanım tarafından uyumluluk için değerlendirin. Atama
properties.scopenesnesinde özelliği, nelerin uyumluluk için dahil ve değerlendirileceklerini belirler. Daha fazla bilgi için bkz. Atama tanımı.Dışlama - Kaynak hiyerarşisi veya tek tek kaynaklar tanım tarafından uyumluluk için değerlendirilmez. Atama
properties.notScopesnesnesi üzerinde dizi özelliği nelerin hariç tutulacaklarını belirler. Bu kapsamlar içindeki kaynaklar değerlendirilmez veya uyumluluk sayısına dahil değildir. Daha fazla bilgi için bkz. Atama tanımı - dışlanan kapsamlar.
İlke ataması özelliklerine ek olarak, ilke muafiyet nesnesidir. Muafiyetler, değerlendirilecek bir atamanın bir bölümünü tanımlamak için bir yöntem sağlayarak kapsam hikayesini geliştirin.
Muafiyet (önizleme özelliğinde ücretsiz) - Kaynak hiyerarşisi veya tek tek kaynaklar tanım tarafından uyumluluk için değerlendir alınsa da, feragat etme veya başka bir yöntem aracılığıyla risk azaltma gibi bir nedenle değerlendirilmez. Bu durumdaki kaynaklar, izlenleri için uyumluluk raporlarında Muaf tutulacak şekilde gösterir. Muafiyet nesnesi kaynak hiyerarşisinde veya tek bir kaynakta, muafiyetin kapsamını belirleyen bir alt nesne olarak oluşturulur. Bir kaynak hiyerarşisi veya tek bir kaynak birden çok atamadan muaf tutulabilirsiniz. Muafiyet, özelliği kullanılarak bir zaman çizelgesine göre süresi dolacak şekilde
expiresOnyalıtıldı. Daha fazla bilgi için bkz. Muafiyet tanımı.Not
Bir kaynak hiyerarşisi veya tek tek kaynak için muafiyet verilmesinin etkisi nedeniyle, muafiyetlerin ek güvenlik önlemleri vardır. Kaynak hiyerarşisinde veya tek tek kaynakta işlemi gerektirmeye ek olarak, muafiyeti oluşturanın hedef
Microsoft.Authorization/policyExemptions/writeexempt/Actionatamada fiili olması gerekir.
Kapsam karşılaştırması
Aşağıdaki tablo, kapsam seçeneklerinin karşılaştırmasıdır:
| Eklenmesi | Dışlama (notScopes) | Muafiyet | |
|---|---|---|---|
| Kaynaklar değerlendirilir | ✔ | - | - |
| Resource Manager nesnesi | - | - | ✔ |
| İlke atama nesnesinin değiştirilmesini gerektirir | ✔ | ✔ | - |
Sonraki adımlar
- İlke tanımı yapısı hakkında bilgi öğrenin.
- Program aracılığıyla ilke oluşturma hakkında bilgi.
- Uyumluluk verilerini nasıl edinebilirsiniz?
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
- Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile bir yönetim grubunun ne olduğunu gözden geçirme.