Co to jest zastosowanie w usłudze Azure Policy?
Po przypisaniu definicji zasad do zakresu usługa Azure Policy określa, które zasoby w tym zakresie powinny być brane pod uwagę do oceny zgodności. Zasób jest oceniany tylko pod kątem zgodności, jeśli jest uznawany za odpowiedni dla danego przypisania zasad.
Kilka czynników określa możliwość stosowania:
- Warunki w
ifbloku reguły zasad. - Tryb definicji zasad.
- Wykluczone zakresy określone w przypisaniu.
- Selektory zasobów określone w przypisaniu.
- Wykluczenia z zasobów lub hierarchii zasobów.
Warunki w if bloku reguły zasad są oceniane pod kątem stosowania w nieco inny sposób na podstawie wpływu.
Uwaga
Zastosowanie różni się od zgodności, a logika używana do określania poszczególnych elementów różni się. Jeśli zasób ma zastosowanie , oznacza to, że jest to istotne dla zasad. Jeśli zasób jest zgodny , oznacza to, że jest zgodny z zasadami. Czasami tylko niektóre warunki z reguły zasad mają wpływ na zastosowanie, podczas gdy wszystkie warunki reguły zasad wpływają na stan zgodności.
Tryby usługi Resource Manager
ifNotExists efekty zasad
AuditIfNotExists Zastosowanie zasad i DeployIfNotExists opiera się na całym if warunku reguły zasad. W przypadku if oceny wartości false zasady nie mają zastosowania.
Wszystkie inne efekty zasad
Usługa Azure Policy ocenia tylko typewarunki , namei kind w wyrażeniu reguły if zasad i traktuje inne warunki jako prawdziwe (lub false w przypadku negacji). Jeśli ostateczny wynik oceny ma wartość true, zasady mają zastosowanie. W przeciwnym razie nie ma zastosowania.
Poniżej przedstawiono specjalne przypadki opisanej wcześniej logiki stosowania:
| Scenariusz | Result |
|---|---|
Wszystkie nieprawidłowe aliasy w if warunkach |
Zasady nie mają zastosowania |
if Gdy warunki składają się tylko kind z warunków |
Zasady mają zastosowanie do wszystkich zasobów |
if Gdy warunki składają się tylko name z warunków |
Zasady mają zastosowanie do wszystkich zasobów |
if Gdy warunki składają się tylko type i kind warunki |
Podczas podejmowania decyzji o zastosowaniu brane są pod uwagę tylko type warunki |
if Gdy warunki składają się tylko type i name warunki |
Podczas podejmowania decyzji o zastosowaniu brane są pod uwagę tylko type warunki |
if Gdy warunki składają się z type, kindi innych warunków |
Warunki type i kind są brane pod uwagę podczas podejmowania decyzji o zastosowaniu |
if Gdy warunki składają się z type, namei innych warunków |
Warunki type i name są brane pod uwagę podczas podejmowania decyzji o zastosowaniu |
Jeśli wszystkie warunki (w tym parametry wdrożenia) zawierają location warunek |
Nie ma zastosowania do subskrypcji |
Tryby dostawcy zasobów
Microsoft.Kubernetes.Data
Microsoft.Kubernetes.Data Zastosowanie zasad jest oparte na całym if warunku reguły zasad. W przypadku if oceny wartości false zasady nie mają zastosowania.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data i Microsoft.MachineLearningServices.v2.Data
Zasady z tymi trybami dostawcy zasobów mają zastosowanie, jeśli type warunek reguły zasad ma wartość true. Odwołuje type się do typu składnika.
Typy składników usługi Key Vault:
Microsoft.KeyVault.Data/vaults/certificatesMicrosoft.KeyVault.Data/vaults/keysMicrosoft.KeyVault.Data/vaults/secrets
Typ składnika zarządzanego sprzętowego modułu zabezpieczeń (HSM):
Microsoft.ManagedHSM.Data/managedHsms/keys
Typ składnika usługi Azure Data Factory:
Microsoft.DataFactory.Data/factories/outboundTraffic
Typ składnika usługi Azure Machine Learning:
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
Zasady z trybem Microsoft.Network.Data mają zastosowanie, jeśli type warunki i name reguły zasad mają wartość true. Odnosi type się do typu składnika:
Microsoft.Network/virtualNetworks
Nie dotyczy zasobów
Mogą wystąpić sytuacje, w których zasoby mają zastosowanie do przypisania na podstawie warunków lub zakresu, ale nie powinny być stosowane ze względów biznesowych. W tym czasie najlepszym rozwiązaniem byłoby zastosowanie wykluczeń lub wykluczeń. Aby dowiedzieć się więcej na temat tego, kiedy należy używać dowolnego z nich, zapoznaj się z porównaniem zakresu
Uwaga
Zgodnie z projektem usługa Azure Policy nie ocenia zasobów w ramach Microsoft.Resources dostawcy zasobów z oceny zasad, z wyjątkiem subskrypcji i grup zasobów.
Następne kroki
- Dowiedz się, jak oznaczyć zasoby jako nie dotyczy.
- Dowiedz się więcej na temat ograniczeń stosowania
- Dowiedz się, jak uzyskać dane zgodności zasobów platformy Azure.
- Przejrzyj aktualizację w obszarze Zgodność zasad dla zasad dotyczących zasad typów zasobów.