Sdílet prostřednictvím


Účinek auditu definic Azure Policy

Účinek audit se používá k vytvoření události upozornění v protokolu aktivit při vyhodnocování nevyhovujícího prostředku, ale požadavek se nezastaví.

Vyhodnocení auditu

Audit je poslední účinek, který služba Azure Policy kontroluje během vytváření nebo aktualizace prostředku. V případě režimu Resource Manageru pak Azure Policy odešle prostředek poskytovateli prostředků. Při vyhodnocování žádosti o vytvoření nebo aktualizaci prostředku azure Policy přidá Microsoft.Authorization/policies/audit/action operaci do protokolu aktivit a označí prostředek jako nevyhovující předpisům. Během standardního cyklu vyhodnocení dodržování předpisů se aktualizuje pouze stav dodržování předpisů u prostředku.

Vlastnosti auditu

V režimu Resource Manageru nemá efekt auditu žádné další vlastnosti pro použití v then podmínce definice zásady.

V případě režimu Microsoft.Kubernetes.Dataposkytovatele prostředků má účinek auditu následující dílčí detailsobdobí . templateInfo Použití se vyžaduje pro nové nebo aktualizované definice zásad, jak constraintTemplate je zastaralé.

  • templateInfo (povinné)

    • Nelze použít s constraintTemplate.
    • sourceType (povinné)
      • Definuje typ zdroje pro šablonu omezení. Povolené hodnoty: PublicURL nebo Base64Encoded.

      • Pokud PublicURLje spárováno s vlastností url pro poskytnutí umístění šablony omezení. Umístění musí být veřejně přístupné.

        Upozorňující

        Nepoužívejte identifikátory URI SAS, tokeny ADRES URL ani nic jiného, co by mohlo vystavit tajné kódy ve formátu prostého textu.

      • Pokud Base64Encodedje spárováno s vlastností content , která poskytuje základní 64 zakódovanou šablonu omezení. Viz Vytvoření definice zásady z šablony omezení a vytvoření vlastní definice z existující šablony omezení OPA (Open Policy Agent) Gatekeeper v3.

  • constraint (zastaralé)

    • Nelze použít s templateInfo.
    • Implementace CRD šablony Omezení. Používá parametry předávané jako values {{ .Values.<valuename> }}. V příkladu 2 níže jsou {{ .Values.excludedNamespaces }} tyto hodnoty a {{ .Values.allowedContainerImagesRegex }}.
  • constraintTemplate (zastaralé)

    • Nelze použít s templateInfo.
    • Při vytváření nebo aktualizaci definice zásady je nutné nahradit templateInfo .
    • Šablona Constraint CustomResourceDefinition (CRD), která definuje nová omezení. Šablona definuje logiku rego, schéma omezení a parametry omezení, které se předávají ze values služby Azure Policy. Další informace najdete v tématu Omezení Gatekeeperu.
  • constraintInfo (volitelné)

    • Nelze použít s constraint, , constraintTemplate, apiGroups, scopekinds, , namespaces, , excludedNamespaces, nebo labelSelector.
    • Pokud constraintInfo není zadané, omezení se dá vygenerovat ze templateInfo zásad a zásad.
    • sourceType (povinné)
      • Definuje typ zdroje pro omezení. Povolené hodnoty: PublicURL nebo Base64Encoded.

      • Pokud PublicURLje spárováno s vlastností url pro poskytnutí umístění omezení. Umístění musí být veřejně přístupné.

        Upozorňující

        Nepoužívejte identifikátory URI SAS ani tokeny v url tajných klíčích ani nic jiného, co by mohlo tajný kód vystavit.

  • namespaces (volitelné)

    • Pole oborů názvů Kubernetes pro omezení vyhodnocování zásad na.
    • Prázdná nebo chybějící hodnota způsobí, že vyhodnocení zásad bude zahrnovat všechny obory názvů, které nejsou definovány v vyloučenýchNamespaces.
  • excludedNamespaces (volitelné)

    • Pole oborů názvů Kubernetes, které se mají vyloučit z vyhodnocení zásad.
  • labelSelector (volitelné)

    • Objekt, který obsahuje vlastnosti matchLabels (object) a matchExpression (pole), aby bylo možné určit, které prostředky Kubernetes mají být zahrnuty pro vyhodnocení zásad odpovídající zadaným popiskům a selektorům.
    • Prázdná nebo chybějící hodnota způsobí, že vyhodnocení zásad bude obsahovat všechny popisky a selektory s výjimkou oborů názvů definovaných v vyloučenýchNamespaces.
  • scope (volitelné)

    • Řetězec, který obsahuje vlastnost oboru, která umožňuje určit, jestli se shodují prostředky s oborem clusteru nebo s oborem názvů.
  • apiGroups (vyžadováno při použití templateInfo)

    • Pole, které zahrnuje skupiny rozhraní API, které se mají shodovat. Prázdné pole ([""]) je základní skupina rozhraní API.
    • Definování ["*"] pro skupiny apiGroups je zakázáno.
  • kinds (vyžadováno při použití templateInfo)

    • Pole, které zahrnuje typ objektu Kubernetes, na který se má vyhodnocení omezit.
    • Definování ["*"] pro druhy je zakázáno.
  • values (volitelné)

    • Definuje všechny parametry a hodnoty, které se mají předat omezení. Každá hodnota musí existovat a odpovídat vlastnosti v oddílu ověření openAPIV3Schema šablony omezení CRD.

Příklad auditu

Příklad 1: Použití efektu auditu pro režimy Resource Manageru

"then": {
  "effect": "audit"
}

Příklad 2: Použití efektu auditu pro režim Microsoft.Kubernetes.Dataposkytovatele prostředků . Další informace v details.templateInfo deklaraci použití PublicURL a nastavení url na umístění šablony omezení pro použití v Kubernetes k omezení povolených imagí kontejneru.

"then": {
  "effect": "audit",
  "details": {
    "templateInfo": {
      "sourceType": "PublicURL",
      "url": "https://store.policy.core.windows.net/kubernetes/container-allowed-images/v1/template.yaml",
    },
    "values": {
      "imageRegex": "[parameters('allowedContainerImagesRegex')]"
    },
    "apiGroups": [
      ""
    ],
    "kinds": [
      "Pod"
    ]
  }
}

Další kroky