Inzicht in het bereik in Azure Policy
Er zijn veel instellingen die bepalen welke resources kunnen worden geëvalueerd en welke resources Azure Policy evalueert. Het primaire concept voor deze besturingselementen is bereik. Bereik in Azure Policy is gebaseerd op de werking van het bereik in Azure Resource Manager. Zie Bereik in Azure Resource Manager voor een overzicht op hoog niveau.
In dit artikel wordt het belang van het bereik in Azure Policy en de gerelateerde objecten en eigenschappen uitgelegd.
Definitielocatie
Het eerste exemplaarbereik dat door Azure Policy wordt gebruikt, is wanneer er een beleidsdefinitie wordt gemaakt. De definitie kan worden opgeslagen in een beheergroep of een abonnement. De locatie bepaalt het bereik waaraan het initiatief of beleid kan worden toegewezen. Resources moeten zich binnen de resourcehiërarchie van de definitielocatie bevinden om te worden toegewezen. De resources die worden gedekt door Azure Policy , beschrijven hoe beleidsregels worden geëvalueerd.
Als de definitielocatie een:
- Abonnement: Het abonnement waarin beleid is gedefinieerd en resources binnen dat abonnement kunnen worden toegewezen aan de beleidsdefinitie.
- Beheergroep: De beheergroep waarin het beleid is gedefinieerd en resources binnen onderliggende beheergroepen en onderliggende abonnementen kunnen worden toegewezen aan de beleidsdefinitie. Als u van plan bent de beleidsdefinitie toe te passen op verschillende abonnementen, moet de locatie een beheergroep zijn die elk abonnement bevat.
De locatie moet de resourcecontainer zijn die wordt gedeeld door alle resources waarop u de beleidsdefinitie wilt gebruiken. Deze resourcecontainer is doorgaans een beheergroep in de buurt van de hoofdbeheergroep.
Toewijzingsbereiken
Een toewijzing heeft verschillende eigenschappen die een bereik instellen. Het gebruik van deze eigenschappen bepaalt welke resource voor Azure Policy moet worden geëvalueerd en welke resources tellen voor naleving. Deze eigenschappen zijn toegewezen aan de volgende concepten:
- Opname: Een definitie evalueert naleving voor een resourcehiërarchie of afzonderlijke resource. Het bereik van het toewijzingsobject bepaalt wat er moet worden opgenomen en geëvalueerd voor naleving. Zie de toewijzingsstructuur van Azure Policy voor meer informatie.
- Uitsluiting: een definitie mag geen naleving evalueren voor een resourcehiërarchie of afzonderlijke resource. De
properties.notScopesmatrixeigenschap voor een toewijzingsobject bepaalt wat u wilt uitsluiten. Resources binnen deze bereiken worden niet geëvalueerd of opgenomen in het nalevingsaantal. Zie De toewijzingsstructuur van Azure Policy uitgesloten bereiken voor meer informatie.
Naast de eigenschappen van de beleidstoewijzing, is het object uitzonderingsstructuur van Azure Policy. Uitzonderingen verbeteren het bereikverhaal door een methode te bieden om een deel van een toewijzing te identificeren dat niet moet worden geëvalueerd.
Uitzondering: Een definitie evalueert naleving voor een resourcehiërarchie of afzonderlijke resource, maar evalueert niet om een reden, zoals een afstandsverklaring of beperking via een andere methode. Resources in deze status worden weergegeven als Uitgesloten in nalevingsrapporten, zodat ze kunnen worden bijgehouden. Het uitzonderingsobject wordt gemaakt in de resourcehiërarchie of afzonderlijke resource als een onderliggend object, dat het bereik van de uitzondering bepaalt. Een resourcehiërarchie of afzonderlijke resource kan worden uitgesloten van meerdere toewijzingen. De uitzondering kan worden geconfigureerd om te verlopen volgens een schema met behulp van de expiresOn eigenschap. Zie de uitzonderingsstructuur van Azure Policy voor meer informatie.
Notitie
Vanwege de gevolgen van het verlenen van een uitzondering voor een resourcehiërarchie of afzonderlijke resource, hebben uitzonderingen aanvullende beveiligingsmaatregelen. Naast het vereisen van de Microsoft.Authorization/policyExemptions/write bewerking voor de resourcehiërarchie of afzonderlijke resource, moet de maker van een uitzondering het exempt/Action werkwoord hebben voor de doeltoewijzing.
Bereikvergelijking
De volgende tabel is een vergelijking van de bereikopties:
| Resources | Inclusiviteit | Uitsluiting (notScopes) | Vrijstelling |
|---|---|---|---|
| Resources worden geëvalueerd | ✔ | - | - |
| Resource Manager-object | - | - | ✔ |
| Vereist het wijzigen van het beleidstoewijzingsobject | ✔ | ✔ | - |
Hoe kiest u of u een uitsluiting of uitzondering wilt gebruiken? Uitsluitingen worden meestal aanbevolen om evaluatie permanent te omzeilen voor een breed bereik, zoals een testomgeving waarvoor niet hetzelfde governanceniveau is vereist. Uitzonderingen worden aanbevolen voor tijdgebonden of meer specifieke scenario's waarbij een resource- of resourcehiërarchie nog steeds moet worden bijgehouden en anders geëvalueerd, maar er is een specifieke reden waarom deze niet moet worden beoordeeld op naleving.
Volgende stappen
- Meer informatie over de structuur van de beleidsdefinitie.
- Meer informatie over het programmatisch maken van beleid.
- Meer informatie over het ophalen van nalevingsgegevens.
- Ontdek hoe u niet-compatibele resources kunt herstellen.
- Meer informatie over het organiseren van uw resources met Azure-beheergroepen.