Estados de conformidade da Política do Azure
Como funciona a conformidade
Quando as definições de iniciativa ou política são atribuídas, a Política do Azure determina quais recursos são aplicáveis e, em seguida, avalia os recursos que não são excluídos ou isentos. A avaliação produz estados de conformidade com base nas condições da regra de política e na adesão de cada recurso a esses requisitos.
Estados de conformidade disponíveis
Incompatível
As atribuições de política com , ou efeitos são consideradas não compatíveis para auditrecursos novos, atualizados ou existentes quando as condições da regra de política são avaliadas como TRUE.modify auditIfNotExists
As atribuições de política com , e efeitos são consideradas não compatíveis para appendrecursos existentes quando as condições da regra de política são avaliadas como TRUE.deployIfNotExists deny Recursos novos e atualizados são automaticamente corrigidos ou negados no momento da solicitação para impor a conformidade. Quando um recurso não compatível existente anteriormente é atualizado, o estado de conformidade permanece não compatível até que a implantação do recurso e a avaliação da política sejam concluídas.
Nota
Os deployIfNotExists efeitos e auditIfNotExists exigem que a declaração IF seja VERDADEIRA e que a condição de existência seja FALSO para não estar em conformidade. Quando for TRUE, a condição IF aciona a avaliação da condição de existência dos recursos relacionados.
As atribuições de política com manual efeitos são consideradas não conformes em duas circunstâncias:
- A definição de política tem um estado de conformidade padrão de não conformidade e não há nenhum atestado ativo para o recurso aplicável declarando o contrário.
- O recurso foi atestado como não conforme.
Para determinar o motivo pelo qual um recurso não está em conformidade ou para encontrar a alteração responsável, consulte Determinar causas de não conformidade. Para corrigir recursos e políticas não compatíveis, consulte Corrigir recursos não compatíveis com a Política do Azure.modify deployIfNotExists
Compatível
As atribuições de política com , , , deployIfNotExists, ou modify efeitos são consideradas compatíveis com appendrecursos novos, atualizados ou existentes quando as condições da regra de política são avaliadas como FALSE. denyauditIfNotExistsaudit
As atribuições de política com efeitos são consideradas compatíveis em manual duas circunstâncias:
- A definição de política tem um estado de conformidade padrão de conformidade e não há nenhum atestado ativo para o recurso aplicável declarando o contrário.
- O recurso foi atestado como compatível.
Erro
O estado de conformidade de erro é dado a atribuições de política que geram um erro do sistema, como erro de modelo ou de avaliação.
Conflitantes
Uma atribuição de política é considerada conflitante quando há duas ou mais atribuições de política existentes no mesmo escopo com regras contraditórias ou conflitantes. Por exemplo, duas definições que acrescentam a mesma tag com valores diferentes.
Isentos
Um recurso aplicável tem um estado de conformidade de isento para uma atribuição de política quando está no escopo de uma isenção.
Nota
Isento é diferente de excluído. Para obter mais informações, veja Compreender o âmbito no Azure Policy.
Desconhecido
Desconhecido é o estado de conformidade padrão para definições com manual efeito, a menos que o padrão tenha sido explicitamente definido como compatível ou não compatível. Este estado indica que se justifica um atestado de conformidade. Esse estado de conformidade só ocorre para atribuições de política com manual efeito.
Protegido
Estado protegido significa que o recurso está coberto por uma atribuição com um efeito denyAction .
Não registado
Esse estado de conformidade fica visível no portal do Azure quando o Provedor de Recursos de Política do Azure não está registrado ou quando a conta conectada não tem permissão para ler dados de conformidade.
Nota
Se o estado de conformidade estiver sendo relatado como Não registrado, verifique se o Microsoft.PolicyInsights Provedor de Recursos está registrado e se o usuário tem as permissões apropriadas de controle de acesso baseado em função do Azure (Azure RBAC), conforme descrito em Permissões do Azure RBAC na Política do Azure.
Para registrar Microsoft.PolicyInsights, siga as etapas em Provedores e tipos de recursos do Azure.
Não iniciada
Esse estado de conformidade indica que o ciclo de avaliação não foi iniciado para a política ou o recurso.
Exemplo
Agora que você já entendeu quais estados de conformidade existem e o que cada um significa, vamos ver um exemplo usando estados compatíveis e não compatíveis.
Suponha que você tenha um grupo de recursos - ContosoRG, com algumas contas de armazenamento (destacadas em vermelho) expostas a redes públicas.
Diagrama mostrando imagens para cinco contas de armazenamento no grupo de recursos Contoso R G. As contas de armazenamento um e três são azuis, enquanto as contas de armazenamento dois, quatro e cinco são vermelhas.
Neste exemplo, você precisa ter cuidado com os riscos de segurança. Suponha que você atribua uma definição de política que audita contas de armazenamento expostas a redes públicas e que nenhuma isenção é criada para essa atribuição. A política verifica os recursos aplicáveis (o que inclui todas as contas de armazenamento no grupo de recursos ContosoRG) e, em seguida, avalia os recursos que não estão excluídos da avaliação. Ele audita as três contas de armazenamento expostas a redes públicas, alterando seus estados de conformidade para Não compatíveis. Os restantes estão marcados como conformes.
Diagrama mostrando imagens para cinco contas de armazenamento no grupo de recursos Contoso R G. As contas de armazenamento um e três agora têm marcas de seleção verdes abaixo delas, enquanto as contas de armazenamento dois, quatro e cinco agora têm sinais de aviso vermelhos abaixo delas.
Pacote cumulativo de conformidade
O estado de conformidade é determinado por recurso e por atribuição de política. No entanto, precisamos muitas vezes de uma visão global do estado do ambiente, que é onde a conformidade agregada entra em jogo.
Há várias maneiras de visualizar os resultados agregados de conformidade no portal:
| Vista de conformidade agregada | Fatores que determinam o estado de conformidade |
|---|---|
| Âmbito | Todas as políticas dentro do escopo selecionado |
| Iniciativa | Todas as políticas no âmbito da iniciativa |
| Grupo de iniciativa ou controlo | Todas as políticas dentro do grupo ou controle |
| Política | Todos os recursos aplicáveis |
| Recurso | Todas as políticas aplicáveis |
Comparação de diferentes estados de conformidade
Então, como o estado de conformidade agregado é determinado se vários recursos ou políticas têm estados de conformidade diferentes? O Azure Policy classifica cada estado de conformidade para que um ganhe sobre o outro nessa situação. A ordem de classificação é:
- Incompatível
- Compatível
- Erro
- Conflitantes
- Protegido (pré-visualização)
- Isentos
- Desconhecido (pré-visualização)
Nota
Não iniciados e não registrados não são considerados nos cálculos de acúmulo de conformidade.
Com essa ordem de classificação, se houver estados não compatíveis e compatíveis, o agregado acumulado não será compatível e assim por diante. Vejamos um exemplo:
Suponha que uma iniciativa contenha 10 políticas e um recurso esteja isento de uma política, mas compatível com as nove restantes. Como um estado compatível tem uma classificação mais alta do que um estado isento, o recurso seria registrado como compatível no resumo acumulado da iniciativa. Assim, um recurso só aparece como isento para toda a iniciativa se estiver isento ou tiver conformidade desconhecida com todas as outras políticas aplicáveis nessa iniciativa. No outro extremo, um recurso que não está em conformidade com pelo menos uma política aplicável na iniciativa tem um estado geral de conformidade de não conformidade, independentemente das políticas aplicáveis restantes.
Percentagem de conformidade
A porcentagem de conformidade é determinada dividindo os recursos Conformes, Isentos e Desconhecidos pelo total de recursos. Os recursos totais incluem recursos com estados Conforme, Não compatível, Desconhecido, Isento, Conflitante e Erro .
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
Na imagem mostrada, existem 20 recursos distintos que são aplicáveis e apenas um é não compatível. A conformidade global com os recursos é de 95% (19 em 20).
Próximos passos
- Saiba como obter dados de conformidade
- Saiba como determinar as causas da não conformidade
- Obter dados de conformidade através de consultas de exemplo do Azure Resource Graph para a Política do Azure