O que é aplicabilidade no Azure Policy?
Quando uma definição de política é atribuída a um escopo, o Azure Policy determina quais recursos nesse escopo devem ser considerados para a avaliação de conformidade. Um recurso só será avaliado quanto à conformidade se for considerado aplicável à atribuição de política determinada.
Vários fatores determinam a aplicabilidade:
- Condições no bloco
ifda regra de política. - Modo da definição de política.
- Escopos excluídos especificados na atribuição.
- Seletores de recursos especificados na atribuição.
- Isenções de recursos ou hierarquias de recursos.
As condições no bloco if da regra de política são avaliadas para aplicabilidade de maneiras ligeiramente distintas com base no efeito.
Observação
A aplicabilidade é diferente da conformidade e a lógica usada para determinar cada uma é diferente. Se um recurso for aplicável, isso significa que ele é relevante para a política. Se um recurso estiver em conformidade, isso significa que ele segue a política. Às vezes, apenas determinadas condições da regra de política afetam a aplicabilidade, enquanto todas as condições da regra de política afetam o estado de conformidade.
Modos do Resource Manager
Efeitos da política ifNotExists
A aplicabilidade das políticas AuditIfNotExists e DeployIfNotExists se baseia em toda a condição if da regra de política. Quando if é avaliado como false, a política não é aplicável.
Todos os outros efeitos de política
O Azure Policy avalia apenas as condições type, name e kind na expressão de regra if de política e trata outras condições como verdadeiras (ou falsas quando negadas). Se o resultado final da avaliação for verdadeiro, a política será aplicável. Caso contrário, ela não será aplicável.
A seguir estão casos especiais para a lógica de aplicabilidade descrita anteriormente:
| Cenário | Resultado |
|---|---|
Quaisquer aliases inválidos nas condições if |
A política não é aplicável |
Quando as condições if consistem apenas nas condições kind |
A política é aplicável a todos os recursos |
Quando as condições if consistem apenas nas condições name |
A política é aplicável a todos os recursos |
Quando as condições if consistem apenas nas condições type e kind |
Somente as condições type são consideradas ao decidir a aplicabilidade |
Quando as condições if consistem apenas nas condições type e name |
Somente as condições type são consideradas ao decidir a aplicabilidade |
Quando as condições if consistem em type, kind e outras condições |
Somente as condições type e kind são consideradas ao decidir a aplicabilidade |
Quando as condições if consistem em type, name e outras condições |
Somente as condições type e name são consideradas ao decidir a aplicabilidade |
Quando quaisquer condições (incluindo parâmetros de implantação) incluem uma condição location |
Não é aplicável a assinaturas |
Modos do provedor de recursos
Microsoft.Kubernetes.Data
A aplicabilidade das políticas Microsoft.Kubernetes.Data se baseia em toda a condição if da regra de política. Quando if é avaliado como false, a política não é aplicável.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data e Microsoft.MachineLearningServices.v2.Data
As políticas com esses provedores de recursos serão aplicáveis se a condição type da regra de política for avaliada como “true”. O type se refere ao tipo de componente.
Key Vault tipos de componente:
Microsoft.KeyVault.Data/vaults/certificatesMicrosoft.KeyVault.Data/vaults/keysMicrosoft.KeyVault.Data/vaults/secrets
Tipo de componente HSM (Managed Hardware Security Module):
Microsoft.ManagedHSM.Data/managedHsms/keys
Azure Data Factory tipo de componente:
Microsoft.DataFactory.Data/factories/outboundTraffic
Tipo de componente do Azure Machine Learning:
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
As políticas com modo Microsoft.Network.Data serão aplicáveis se as condições type e nameda regra de política forem avaliadas como true. O type se refere ao tipo de componente:
Microsoft.Network/virtualNetworks
Recursos não aplicáveis
Pode existir situações em que os recursos são aplicáveis a uma atribuição com base em condições ou escopo, mas eles não devem ser aplicáveis por motivos comerciais. Nesse momento, seria melhor aplicar exclusões ou isenções. Para saber mais sobre quando usar um deles, examine a comparação de escopo
Observação
Por design, o Azure Policy não avalia os recursos no provedor de recursos Microsoft.Resources da avaliação de política, exceto para assinaturas e grupos de recursos.
Próximas etapas
- Saiba como marcar recursos como não aplicáveis.
- Saiba mais sobre limitações de aplicabilidade
- Sabia como Obter dados de conformidade de recursos do Azure.
- Examine a atualização na conformidade da política para políticas de tipo de recurso.