Udostępnij za pośrednictwem


Co to jest zastosowanie w usłudze Azure Policy?

Po przypisaniu definicji zasad do zakresu usługa Azure Policy określa, które zasoby w tym zakresie powinny być brane pod uwagę do oceny zgodności. Zasób jest oceniany tylko pod kątem zgodności, jeśli jest uznawany za odpowiedni dla danego przypisania zasad.

Kilka czynników określa możliwość stosowania:

  • Warunki w if bloku reguły zasad.
  • Tryb definicji zasad.
  • Wykluczone zakresy określone w przypisaniu.
  • Selektory zasobów określone w przypisaniu.
  • Wykluczenia z zasobów lub hierarchii zasobów.

Warunki w if bloku reguły zasad są oceniane pod kątem stosowania w nieco inny sposób na podstawie wpływu.

Uwaga

Zastosowanie różni się od zgodności, a logika używana do określania poszczególnych elementów różni się. Jeśli zasób ma zastosowanie , oznacza to, że jest to istotne dla zasad. Jeśli zasób jest zgodny , oznacza to, że jest zgodny z zasadami. Czasami tylko niektóre warunki z reguły zasad mają wpływ na zastosowanie, podczas gdy wszystkie warunki reguły zasad wpływają na stan zgodności.

Tryby usługi Resource Manager

ifNotExists efekty zasad

AuditIfNotExists Zastosowanie zasad i DeployIfNotExists opiera się na całym if warunku reguły zasad. W przypadku if oceny wartości false zasady nie mają zastosowania.

Wszystkie inne efekty zasad

Usługa Azure Policy ocenia tylko typewarunki , namei kind w wyrażeniu reguły if zasad i traktuje inne warunki jako prawdziwe (lub false w przypadku negacji). Jeśli ostateczny wynik oceny ma wartość true, zasady mają zastosowanie. W przeciwnym razie nie ma zastosowania.

Poniżej przedstawiono specjalne przypadki opisanej wcześniej logiki stosowania:

Scenariusz Result
Wszystkie nieprawidłowe aliasy w if warunkach Zasady nie mają zastosowania
if Gdy warunki składają się tylko kind z warunków Zasady mają zastosowanie do wszystkich zasobów
if Gdy warunki składają się tylko name z warunków Zasady mają zastosowanie do wszystkich zasobów
if Gdy warunki składają się tylko type i kind warunki Podczas podejmowania decyzji o zastosowaniu brane są pod uwagę tylko type warunki
if Gdy warunki składają się tylko type i name warunki Podczas podejmowania decyzji o zastosowaniu brane są pod uwagę tylko type warunki
if Gdy warunki składają się z type, kindi innych warunków Warunki type i kind są brane pod uwagę podczas podejmowania decyzji o zastosowaniu
if Gdy warunki składają się z type, namei innych warunków Warunki type i name są brane pod uwagę podczas podejmowania decyzji o zastosowaniu
Jeśli wszystkie warunki (w tym parametry wdrożenia) zawierają location warunek Nie ma zastosowania do subskrypcji

Tryby dostawcy zasobów

Microsoft.Kubernetes.Data

Microsoft.Kubernetes.Data Zastosowanie zasad jest oparte na całym if warunku reguły zasad. W przypadku if oceny wartości false zasady nie mają zastosowania.

Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data i Microsoft.MachineLearningServices.v2.Data

Zasady z tymi trybami dostawcy zasobów mają zastosowanie, jeśli type warunek reguły zasad ma wartość true. Odwołuje type się do typu składnika.

Typy składników usługi Key Vault:

  • Microsoft.KeyVault.Data/vaults/certificates
  • Microsoft.KeyVault.Data/vaults/keys
  • Microsoft.KeyVault.Data/vaults/secrets

Typ składnika zarządzanego sprzętowego modułu zabezpieczeń (HSM):

  • Microsoft.ManagedHSM.Data/managedHsms/keys

Typ składnika usługi Azure Data Factory:

  • Microsoft.DataFactory.Data/factories/outboundTraffic

Typ składnika usługi Azure Machine Learning:

  • Microsoft.MachineLearningServices.v2.Data/workspaces/deployments

Microsoft.Network.Data

Zasady z trybem Microsoft.Network.Data mają zastosowanie, jeśli type warunki i name reguły zasad mają wartość true. Odnosi type się do typu składnika:

  • Microsoft.Network/virtualNetworks

Nie dotyczy zasobów

Mogą wystąpić sytuacje, w których zasoby mają zastosowanie do przypisania na podstawie warunków lub zakresu, ale nie powinny być stosowane ze względów biznesowych. W tym czasie najlepszym rozwiązaniem byłoby zastosowanie wykluczeń lub wykluczeń. Aby dowiedzieć się więcej na temat tego, kiedy należy używać dowolnego z nich, zapoznaj się z porównaniem zakresu

Uwaga

Zgodnie z projektem usługa Azure Policy nie ocenia zasobów w ramach Microsoft.Resources dostawcy zasobów z oceny zasad, z wyjątkiem subskrypcji i grup zasobów.

Następne kroki