Qu’est-ce que l’applicabilité dans Azure Policy ?
Quand une définition de stratégie est affectée à une étendue, Azure Policy détermine les ressources dans celle-ci à prendre en compte pour l’évaluation de la conformité. Une ressource est évaluée pour la conformité seulement si elle est jugée applicable à l’affectation de stratégie donnée.
Plusieurs facteurs déterminent l’applicabilité :
- Conditions dans le bloc
if
de la règle de stratégie. - Mode la définition de stratégie.
- Étendues exclues spécifiées dans l’affectation.
- Sélecteurs de ressources spécifiés dans l’affectation.
- Exemptions de ressources ou hiérarchies de ressources.
L’applicabilité des conditions dans le bloc if
de la règle de stratégie est évaluée de manière légèrement différente en fonction de leur effet.
Remarque
L’applicabilité diffère de la conformité, et la logique utilisée pour déterminer l’une et l’autre est différente. Si une ressource est applicable, cela signifie qu’elle est pertinente pour la stratégie. Si une ressource est conforme, cela signifie qu’elle respecte la stratégie. Parfois, seules certaines conditions de la règle de stratégie ont un impact sur l’applicabilité, alors que toutes les conditions ont un impact sur l’état de conformité.
Modes Resource Manager
Effets de la stratégie IfNotExists
L’applicabilité des stratégies AuditIfNotExists
et DeployIfNotExists
est basée sur la condition if
entière de la règle de stratégie. Quand if
prend la valeur false, la stratégie n’est pas applicable.
Tous les autres effets de stratégie
Azure Policy évalue uniquement les conditions type
, name
et kind
dans l’expression if
de règle de stratégie, et traite les autres conditions comme true (ou false en cas de négation). Si le résultat final de l’évaluation est true, la stratégie est applicable. Sinon, elle n’est pas applicable.
Voici des cas spéciaux à la logique d’applicabilité décrite précédemment :
Scénario | Résultats |
---|---|
Alias quelconque non valide dans les conditions if |
La stratégie n’est pas applicable |
Lorsque les conditions if sont uniquement des conditions kind |
La stratégie s’applique à toutes les ressources |
Lorsque les conditions if sont uniquement des conditions name |
La stratégie s’applique à toutes les ressources |
Lorsque les conditions if sont uniquement des conditions type et kind |
Seules les conditions type sont prises en compte lors de la décision de l’applicabilité |
Lorsque les conditions if sont uniquement des conditions type et name |
Seules les conditions type sont prises en compte lors de la décision de l’applicabilité |
Lorsque les conditions if consistent en type , kind et autres conditions |
Seules les conditions type et kind sont prises en compte lors de la décision de l’applicabilité |
Lorsque les conditions if consistent en type , name et autres conditions |
Seules les conditions type et name sont prises en compte lors de la décision de l’applicabilité |
Quand une condition quelconque (y compris des paramètres de déploiement) inclut une condition location |
N’est pas applicable aux abonnements |
Modes Fournisseur de ressources
Microsoft.Kubernetes.Data
L’applicabilité des stratégies Microsoft.Kubernetes.Data
est basée sur la condition if
entière de la règle de stratégie. Quand if
prend la valeur false, la stratégie n’est pas applicable.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data et Microsoft.MachineLearningServices.v2.Data
Les stratégies avec ces modes de fournisseur de ressources s’appliquent si la condition type
de la règle de stratégie prend la valeur true. type
fait référence au type de composant.
Types de composants Key Vault :
Microsoft.KeyVault.Data/vaults/certificates
Microsoft.KeyVault.Data/vaults/keys
Microsoft.KeyVault.Data/vaults/secrets
Type de composant du module de sécurité matériel (HSM) managé :
Microsoft.ManagedHSM.Data/managedHsms/keys
Type de composants Azure Data Factory :
Microsoft.DataFactory.Data/factories/outboundTraffic
Type de composant Azure Machine Learning :
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Les stratégies avec le mode Microsoft.Network.Data
s’appliquent si les conditions type
et name
de la règle de stratégie prennent la valeur true. type
fait référence au type de composant :
Microsoft.Network/virtualNetworks
Ressources non applicables
Il peut arriver que des ressources soient applicables à une affectation en raison des conditions ou de la portée, alors qu'elles ne devraient pas l'être pour des raisons professionnelles. À ce moment-là, il serait préférable d'appliquer des exclusions ou des exemptions. Pour savoir quand utiliser l'un ou l'autre, reportez-vous à la comparaison des portées
Remarque
Par sa conception, Azure Policy n’évalue pas les ressources sous le fournisseur de ressources Microsoft.Resources
à partir de l’évaluation de la stratégie, à l’exception des abonnements et des groupes de ressources.
Étapes suivantes
- Découvrez comment marquer les ressources comme non applicables.
- En savoir plus sur les limitations d'applicabilité
- Découvrez comment Obtenir les données de conformité des ressources Azure.
- Examinez la mise à jour de la conformité des stratégies de type de ressource.