Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Принцип работы соответствия требованиям
При назначении определений инициатив или политик политика Azure определяет, какие ресурсы применимы , а затем вычисляет те ресурсы, которые не исключены или исключены. Оценка дает состояния соответствия на основе условий в правиле политики, а все ресурсы соответствуют этим требованиям.
Доступные состояния соответствия
Non-compliant
Назначения политик с audit, auditIfNotExistsили modify эффекты считаются несоответствуемыми для новых, обновленных или существующих ресурсов, когда условия правила политики оцениваются TRUE.
Назначения политик с append, denyа deployIfNotExists эффекты считаются несоответствующим существующим ресурсам, если условия правила политики оцениваются TRUE.
Новые и обновленные ресурсы автоматически исправляются или отклоняются во время запроса для обеспечения соответствия требованиям. Когда ранее существующий несоответствующий ресурс обновляется, состояние соответствия остается несоответствующим до завершения оценки развертывания ресурсов и политики.
Note
Для deployIfNotExists и auditIfNotExists эффектов требуется, чтобы оператор IF был TRUE, и условие существования должно быть FALSE, чтобы быть несовместимым. Когда установлено значение TRUE, условие IF запускает оценку условия существования для связанных ресурсов.
Назначения политик с manual эффектами считаются несоответствующим в двух обстоятельствах:
- Определение политики имеет состояние соответствия по умолчанию несоответствующего требованиям, и не существует активной аттестации для применимого ресурса, указывающего в противном случае.
- Ресурс был подтвержден как несоответствующий.
Чтобы определить причину, по которой ресурс не соответствует требованиям или найти изменение, см. статью "Определение причин несоответствия". Чтобы устранить несоответствующие ресурсы и deployIfNotExistsmodify политики, см. статью "Исправление несоответствующих ресурсов с помощью политики Azure".
Compliant
Назначения политик с append, audit, , auditIfNotExistsdenydeployIfNotExistsили modify эффекты считаются совместимыми для новых, обновленных или существующих ресурсов, когда условия правила политики оцениваютсяFALSE.
Назначения политик с manual эффектами считаются соответствующими двумя обстоятельствами:
- Определение политики имеет состояние соответствия по умолчанию и не существует активной аттестации для применимого ресурса, указывающего в противном случае.
- Ресурс был подтвержден как соответствующий.
Error
Состояние соответствия ошибкам присваивается назначениям политик, которые создают системную ошибку, например ошибку шаблона или оценки.
Conflicting
Назначение политики считается конфликтующим при наличии двух или более назначений политик в одной области с противоречивыми или конфликтующими правилами. Например, два определения, добавляющие один и тот же тег с разными значениями.
Exempt
Применимый ресурс имеет состояние соответствия для назначения политики, если оно находится в области исключения.
Note
Исключение отличается от исключения. Дополнительные сведения см. в статье Понимание рамок в Политике Azure.
Unknown
Неизвестно состояние соответствия по умолчанию для определений с manual эффектом, если значение по умолчанию не было явно задано для соответствия или несоответствия. Это состояние указывает на то, что аттестация соответствия гарантируется. Это состояние соответствия возникает только для назначений политик с эффектом manual .
Protected
Защищенное состояние означает, что ресурс охватывается назначением с эффектом denyAction .
Не зарегистрировано
Это состояние соответствия отображается на портале Azure, если поставщик ресурсов политики Azure не зарегистрирован или если у учетной записи входа нет разрешения на чтение данных о соответствии.
Note
Если состояние соответствия сообщается как "Не зарегистрировано", убедитесь, что Microsoft.PolicyInsights поставщик ресурсов зарегистрирован и что у пользователя есть соответствующие разрешения на управление доступом на основе ролей Azure (Azure RBAC), как описано в разрешениях Azure RBAC в политике Azure.
Чтобы зарегистрировать Microsoft.PolicyInsights, выполните действия в поставщиках и типах ресурсов Azure.
Не начато
Это состояние соответствия указывает, что цикл оценки не запущен для политики или ресурса.
Example
Теперь, когда у вас есть представление о том, какие состояния соответствия существуют и что означает каждый из них, давайте рассмотрим пример использования совместимых и несоответствующих состояний.
Предположим, у вас есть группа ресурсов — ContosoRG, с некоторыми учетными записями хранения (выделенными красным цветом), которые предоставляются общедоступным сетям.
Схема, на которой показаны изображения для пяти учетных записей хранения в группе ресурсов Contoso R G. Учетные записи хранения один и три являются синими, а учетные записи хранения два, четыре и пять — красными.
В этом примере необходимо опасаться рисков безопасности. Предположим, что вы назначаете определение политики, которое выполняет аудит учетных записей хранения, предоставляемых общедоступным сетям, и что для этого назначения не создаются исключения. Политика проверяет наличие применимых ресурсов (включая все учетные записи хранения в группе ресурсов ContosoRG), а затем оценивает те ресурсы, которые не исключены из оценки. Он проверяет три учетные записи хранения, предоставляемые общедоступным сетям, изменяя их состояния соответствия на несоответствующие. Остальные остаток помечаются соответствующими требованиям.
Схема, на которой показаны изображения для пяти учетных записей хранения в группе ресурсов Contoso R G. Учетные записи хранения один и три теперь имеют зеленые флажки под ними, в то время как учетные записи хранения два, четыре и пять теперь имеют красные знаки предупреждения под ними.
Свертка соответствия требованиям
Состояние соответствия определяется на ресурс, назначение по политике. Тем не менее, нам часто требуется представление о состоянии среды, где вступает в игру агрегатное соответствие.
На портале можно просмотреть статистические результаты соответствия:
| Представление соответствия агрегатам | Факторы, определяющие состояние соответствия |
|---|---|
| Scope | Все политики в выбранной области |
| Initiative | Все политики в рамках инициативы |
| Группа инициатив или управление | Все политики в группе или элементе управления |
| Policy | Все применимые ресурсы |
| Resource | Все применимые политики |
Сравнение различных состояний соответствия
Таким образом, как определяется состояние статистического соответствия, если несколько ресурсов или политик имеют разные состояния соответствия? Политика Azure ранжирует каждое состояние соответствия, чтобы один выиграл другой в этой ситуации. Порядок ранжирования:
- Non-compliant
- Compliant
- Error
- Conflicting
- Защищенный (предварительная версия)
- Exempted
- Неизвестно (предварительная версия)
Note
Не запущены и не зарегистрированы в вычислениях свертки соответствия требованиям.
В этом порядке ранжирования, если существуют как несоответствующие, так и соответствующие состояния, то свернутый агрегат будет несоответствующим и т. д. Рассмотрим пример:
Предположим, что инициатива содержит 10 политик, а ресурс освобождается от одной политики, но соответствует оставшейся девяти. Так как соответствующее состояние имеет более высокий ранг, чем исключенное состояние, ресурс будет регистрироваться как соответствующее в сводной сводке инициативы. Таким образом, ресурс отображается только как исключение для всей инициативы, если она исключена или имеет неизвестное соответствие, все остальные применимые политики в этой инициативе. С другой стороны, ресурс, который не соответствует хотя бы одной применимой политике в инициативе, имеет общее состояние соответствия требованиям независимо от остальных применимых политик.
Процент соответствия требованиям
Процент соответствия определяется разделением совместимых, исключенных и неизвестных ресурсов на общий объем ресурсов. Общий объем ресурсов включает ресурсы с соответствующими, несоответствующими, неизвестными, исключенными, конфликтующими и состояниямиошибок.
overall compliance % = (compliant + exempt + unknown + protected) / (compliant + exempt + unknown + non-compliant + conflicting + error + protected)
На изображении есть 20 уникальных ресурсов, которые применимы, и только один является несоответствующим. Общее соответствие ресурсов составляет 95% (19 из 20).
Дальнейшие шаги
- Узнайте, как получить данные о соответствии
- Узнайте, как определить причины несоответствия
- Получение данных соответствия с помощью примеров запросов Azure Resource Graph для политики Azure