Общие сведения о Политике Azure
Существует множество параметров, определяющих, какие ресурсы могут оцениваться и какие ресурсы Политика Azure оценивает. Основным термином для этих элементов управления является область. Область в политике Azure определяется в зависимости от того, как она работает в Azure Resource Manager. Общий обзор см. в разделе Область в Azure Resource Manager.
В этой статье объясняется важность области в Политика Azure и связанных объектов и свойств.
Расположение определения
Первая область экземпляра, используемая политикой Azure, — это время создания определения политики. Определение может быть сохранено в группе управления или подписке. Расположение указывает область, которой можно назначить инициативу или политику. Ресурсы должны находиться внутри иерархии расположения определения для назначения. Ресурсы, охватываемые Политика Azure, описывают, как оцениваются политики.
Если расположение определения является
- Подписка: подписка, в которой определена политика, и ресурсы в этой подписке можно назначить определение политики.
- Группа управления: группа управления, в которой определена политика, и ресурсы в дочерних группах управления и дочерних подписках можно назначить определение политики. Если вы планируете применять определение политики к нескольким подпискам, расположение должно быть группой управления, содержащей каждую подписку.
Расположение должно быть контейнером ресурсов, совместно используемым всеми ресурсами, для которых вы хотите использовать определение политики. Такой контейнер ресурсов обычно является группой управления, расположенной рядом с корневой группой управления.
Области назначения
Назначение имеет несколько свойств, которые задают область. Использование этих свойств определяет, какой ресурс для политики Azure будет оцениваться и какие ресурсы учитываются для соответствия. Эти свойства соответствуют следующим понятиям.
- Включение. Определение оценивает соответствие иерархии ресурсов или отдельного ресурса. Область объекта назначения определяет, что следует включать и оценивать для соответствия требованиям. Дополнительные сведения см. в разделе Политика Azure структура назначения.
- Исключение. Определение не должно оценивать соответствие иерархии ресурсов или отдельного ресурса. Свойство
properties.notScopesМассив объекта назначения определяет, что следует исключить. Ресурсы в этих областях не оцениваются и не входят в число соответствий. Дополнительные сведения см. в разделе Политика Azure структура назначения исключенных областей.
Помимо свойств назначения политики, является объектом структуры Политика Azure исключения. Исключения улучшают историю области, предоставляя метод для определения части назначения, которая не должна оцениваться.
Исключение. Определение оценивает соответствие иерархии ресурсов или отдельного ресурса, но не оценивается по такой причине, как отказ или устранение рисков с помощью другого метода. Ресурсы в этом состоянии отображаются как Исключенные в отчетах о соответствии, чтобы их можно было отслеживать. Объект исключения создается в иерархии ресурсов или отдельном ресурсе как дочерний объект, который определяет область исключения. Иерархию ресурсов или отдельный ресурс можно исключить из нескольких назначений. Исключение может быть настроено на истечение срока действия расписания с помощью expiresOn свойства. Дополнительные сведения см. в разделе Политика Azure структуре исключения.
Примечание.
Из-за влияния предоставления исключения для иерархии ресурсов или отдельного ресурса для исключений используются дополнительные меры безопасности. Помимо выполнения операции Microsoft.Authorization/policyExemptions/write с иерархией ресурсов или отдельным ресурсом, создатель исключения должен использовать команду exempt/Action в целевом назначении.
Сравнение областей
В следующей таблице представлено сравнение двух вариантов областей:
| Ресурсы | Включение | Исключение (не область) | Исключение |
|---|---|---|---|
| Ресурсы оцениваются | ✔ | - | - |
| Объект Resource Manager | - | - | ✔ |
| Требуется изменение объекта назначения политики | ✔ | ✔ | - |
Так как выбрать, следует ли использовать исключение или исключение? Обычно исключения рекомендуются для постоянного обхода оценки для широкой области, такой как тестовая среда, которая не требует того же уровня управления. Исключения рекомендуется использовать для определенных сценариев с привязкой времени или более конкретных сценариев, когда необходимо отслеживать ресурсы или иерархию ресурсов и в противном случае оценивать их, но есть определенная причина, по которой она не должна оцениваться для соответствия требованиям.
Следующие шаги
- Узнайте больше о структуре определения политик.
- Узнайте о программном создании политик.
- Узнайте, как получать данные о соответствии.
- Узнайте, как исправлять несоответствующие ресурсы.
- Узнайте больше о том, как упорядочить ресурсы с помощью групп управления Azure.