Azure İlkesi'da kapsamı anlama

  • Makale

Hangi kaynakların değerlendirilemediğini ve hangi kaynakların Azure İlkesi tarafından değerlendirildiğini belirleyen birçok ayar vardır. Bu denetimlerin birincil kavramı kapsamtır. Azure İlkesi kapsamı, Kapsamın Azure Resource Manager'da nasıl çalıştığına bağlıdır. Üst düzey genel bakış için bkz . Azure Resource Manager'da kapsam.

Bu makalede kapsamın Azure İlkesi önemi ve ilgili nesneler ve özellikler açıklanmaktadır.

Tanım konumu

Azure İlkesi tarafından kullanılan ilk örnek kapsamı, bir ilke tanımı oluşturulduğunda kullanılır. Tanım bir yönetim grubuna veya aboneliğe kaydedilebilir. Konum, girişimin veya ilkenin atanabileceği kapsamı belirler. Kaynaklar, atama için hedeflenecek tanım konumunun kaynak hiyerarşisinde olmalıdır. Azure İlkesi kapsamındaki kaynaklar ilkelerin nasıl değerlendirildiği açıklanır.

Tanım konumu bir ise:

  • Abonelik - İlkenin tanımlandığı abonelik ve bu abonelik içindeki kaynaklara ilke tanımı atanabilir.
  • Yönetim grubu - İlkenin tanımlandığı yönetim grubuna ve alt yönetim grupları ile alt abonelikler içindeki kaynaklara ilke tanımı atanabilir. İlke tanımını birkaç aboneliğe uygulamayı planlıyorsanız, konumun her aboneliği içeren bir yönetim grubu olması gerekir.

Konum, var olan ilke tanımını kullanmak istediğiniz tüm kaynaklar tarafından paylaşılan kaynak kapsayıcısı olmalıdır. Bu kaynak kapsayıcısı genellikle kök yönetim grubuna yakın bir yönetim grubudur.

Atama kapsamları

Atamanın kapsamı ayarlayan birkaç özelliği vardır. Bu özelliklerin kullanılması, Azure İlkesi için hangi kaynağın değerlendirileceğini ve hangi kaynakların uyumluluk açısından sayılıp sayılamadığını belirler. Bu özellikler aşağıdaki kavramlarla eşler:

  • Ekleme - Kaynak hiyerarşisi veya tek bir kaynak, tanım tarafından uyumluluk açısından değerlendirilmelidir. properties.scope Atama nesnesinde özelliği, uyumluluk için nelerin dahil edilmesi ve değerlendirileceğini belirler. Daha fazla bilgi için bkz . Atama tanımı.

  • Dışlama - Kaynak hiyerarşisi veya tek bir kaynak, tanım tarafından uyumluluk açısından değerlendirilmemelidir. Atama properties.notScopesnesnesinde dizi özelliği nelerin dışlanması gerekeceğini belirler. Bu kapsamlardaki kaynaklar değerlendirilmez veya uyumluluk sayısına dahil değildir. Daha fazla bilgi için bkz . Atama tanımı - hariç tutulan kapsamlar.

İlke atamasının özelliklerine ek olarak, ilke muafiyeti nesnesidir. Muafiyetler, değerlendirme yapılmaması için atamanın bir bölümünü tanımlamak için bir yöntem sağlayarak kapsam hikayesini geliştirir.

  • Muafiyet - Kaynak hiyerarşisi veya tek bir kaynak tanım tarafından uyumluluk açısından değerlendirilmelidir, ancak feragat etme veya başka bir yöntemle risk azaltma gibi bir nedenden dolayı değerlendirilmez. Bu durumdaki kaynaklar, izlenebilmeleri için uyumluluk raporlarında Muaf olarak gösterilir. Muafiyet nesnesi, kaynak hiyerarşisinde veya tek bir kaynakta alt nesne olarak oluşturulur ve bu da muafiyetin kapsamını belirler. Kaynak hiyerarşisi veya tek tek kaynaklar birden çok atamadan muaf tutulabilir. Muafiyet, özelliğini kullanarak expiresOn bir zamanlamaya göre süresi dolacak şekilde yapılandırılabilir. Daha fazla bilgi için bkz . Muafiyet tanımı.

    Not

    Kaynak hiyerarşisi veya tek bir kaynak için muafiyet vermenin etkisi nedeniyle, muafiyetlerin ek güvenlik önlemleri vardır. Kaynak hiyerarşisinde Microsoft.Authorization/policyExemptions/write veya tek bir kaynakta işlemi gerektirmeye ek olarak, bir muafiyeti oluşturanın hedef atamada fiili olmalıdır exempt/Action .

Kapsam karşılaştırması

Aşağıdaki tabloda kapsam seçeneklerinin karşılaştırması yer alır:

Eklenmesi Dışlama (notScopes) Muafiyet
Kaynaklar değerlendirilir - -
Resource Manager nesnesi - -
İlke atama nesnesinin değiştirilmesini gerektirir -

Peki dışlama mı yoksa muafiyet mi kullanacağınızı nasıl seçersiniz? Genellikle dışlamaların, aynı idare düzeyini gerektirmeyen bir test ortamı gibi geniş bir kapsam için değerlendirmeyi kalıcı olarak atlaması önerilir. Muafiyetler, bir kaynağın veya kaynak hiyerarşisinin hala izlenmesi ve başka bir şekilde değerlendirilmesi gereken zamana bağlı veya daha belirli senaryolar için önerilir, ancak uyumluluk açısından değerlendirilmemesi gereken belirli bir neden vardır.

Sonraki adımlar

  • İlke tanımı yapısı hakkında bilgi edinin.
  • Program aracılığıyla ilkelerin nasıl oluşturulacağını anlama.
  • Uyumluluk verilerini almayı öğrenin.
  • Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
  • Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile yönetim grubunun ne olduğunu gözden geçirin.