Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Определения политики Azure описывают условия соответствия ресурсов и эффект, который будет принят, если условие выполнено. Условие сравнивает поле или значение свойства ресурса с требуемым значением. Доступ к полям свойств ресурсов осуществляется с помощью псевдонимов. Если поле свойства ресурса является массивом, для выбора значений из всех элементов массива и применения условия к каждому из них можно использовать специальный псевдоним массива. Дополнительные сведения об условиях.
С помощью назначений политик можно управлять затратами и управлять ресурсами. Например, можно указать, что разрешены только определенные типы виртуальных машин. Кроме того, можно требовать наличие определенного тега для ресурсов. Назначения в рамках области применяются ко всем ресурсам в этой области и ниже по иерархии. Назначение политики, применяемое к группе ресурсов, применяется также ко всем ресурсам в этой группе.
Вы используете JSON для создания определения политики, содержащего элементы для:
displayNamedescriptionmodeversionmetadataparameterspolicyRule- логические оценки
effect
В следующем примере JSON показана политика, которая налагает ограничения на расположения для развертывания ресурсов.
{
"properties": {
"displayName": "Allowed locations",
"description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
"mode": "Indexed",
"metadata": {
"version": "1.0.0",
"category": "Locations"
},
"parameters": {
"allowedLocations": {
"type": "array",
"metadata": {
"description": "The list of locations that can be specified when deploying resources",
"strongType": "location",
"displayName": "Allowed locations"
},
"defaultValue": [
"westus2"
]
}
},
"policyRule": {
"if": {
"not": {
"field": "location",
"in": "[parameters('allowedLocations')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
Дополнительные сведения см. в схеме определения политики. Встроенные компоненты и шаблоны Политики Azure приведены в примерах Политики Azure.
Отображаемое имя и описание
Вы используете displayName и description определяете определение политики и предоставляете контекст при использовании определения. Максимальная длина displayName составляет 128 символов, а description имеет максимальную длину 512 символов.
Примечание.
Во время создания или обновления определения политики id, type и name определяются свойствами, внешними относительно JSON, и не нужны в JSON-файле. Получение определения политики с помощью пакета SDK возвращает свойства id, type и name в составе JSON, но все они представляют собой лишь информацию для чтения об определении политики.
Тип политики
policyType Хотя свойство не может быть задано, есть три значения, возвращаемые пакетом SDK и видимые на портале:
-
Builtin: Корпорация Майкрософт предоставляет и поддерживает эти определения политик. -
Custom: это значение задается для всех определений политик, созданных клиентами. -
Static: указывает определение политики соответствия нормативным требованиям, находящейся под управлением компании Майкрософт. Результаты соответствия для этих определений политик являются результатами аудитов инфраструктуры Майкрософт, проведенных сторонними организациями. На портале Azure это значение иногда отображается как управляемое корпорацией Майкрософт. Дополнительные сведения см. в статье Общая ответственность в облаке.
Режим
Настраивается mode в зависимости от того, нацелена политика на свойство Azure Resource Manager или на свойство поставщика ресурсов.
Режимы диспетчера ресурсов
Определяет mode, какие типы ресурсов оцениваются в рамках определения политики. Ниже приведены поддерживаемые режимы.
-
all: оцениваются группы ресурсов, подписки и все типы ресурсов. -
indexed: оцениваются только типы ресурсов, которые поддерживают теги и расположение.
Например, ресурс Microsoft.Network/routeTables поддерживает теги и расположение и оценивается в обоих режимах. Однако ресурс Microsoft.Network/routeTables/routes нельзя помечать тегами и он не оценивается в режиме indexed.
В большинстве случаев рекомендуется установить mode на all. Во всех определениях политик, создаваемых на портале, используется режим all. Если вы используете PowerShell или Azure CLI, можно указать mode параметр вручную. Если определение политики не содержит значения mode, по умолчанию используется значение all в Azure PowerShell и значение null в Azure CLI. Режим null аналогичен использованию indexed для поддержки обратной совместимости.
indexed следует использовать при создании политик, которые будут принудительно применять теги или локации. Это не обязательно, но помешает отображению ресурсов, которые не поддерживают теги и расположения, в качестве несоответствующих в результатах проверки соответствия. Исключением являются группы ресурсов и подписки. Определения политик, которые предписывают расположение или теги для группы ресурсов или подписки, должны устанавливать mode в all и конкретно предназначаться для типа Microsoft.Resources/subscriptions/resourceGroups или типа Microsoft.Resources/subscriptions. Пример см. в разделе "Шаблон: теги " Пример #1". Список ресурсов, поддерживающих теги, см. в разделе Поддержка тегов для ресурсов Azure.
Режимы поставщика ресурсов
Ниже перечислены полностью поддерживаемые режимы поставщика ресурсов:
-
Microsoft.Kubernetes.Dataдля управления кластерами и компонентами Kubernetes, такими как pod, контейнеры и входящий трафик. Поддержка для кластеров Azure Kubernetes Service и кластеров Kubernetes с поддержкой Azure Arc. Определения, использующие этот режим поставщика ресурсов, используют эффекты аудита, запрета и отключения. -
Microsoft.KeyVault.Dataдля управления хранилищами и сертификатами в Azure Key Vault. Дополнительные сведения об этих определениях политик см. в статье Интеграция Azure Key Vault с Политикой Azure. -
Microsoft.Network.Dataдля управления настраиваемыми политиками членства в Диспетчере виртуальных сетей Azure с помощью Политики Azure;
Сейчас в предварительной версии поддерживаются следующие режимы поставщика ресурсов:
-
Microsoft.ManagedHSM.Dataдля управления ключами управляемого аппаратного модуля безопасности (HSM) с помощью политики Azure. -
Microsoft.DataFactory.Dataдля использования Azure Policy с целью запрета доменных имен исходящего трафика от Azure Data Factory, которые не указаны в списке разрешений. Этот режим поставщика ресурсов используется только для принуждения и не отслеживает соответствие в режиме общедоступной предварительной версии. -
Microsoft.MachineLearningServices.v2.Dataдля управления развертыванием моделей машинного обучения Azure. Этот режим поставщика ресурсов сообщает о соответствии только что созданным и обновленным компонентам. В общедоступной предварительной версии записи соответствия сохраняются в течение 24 часов. Развертывания моделей, которые существуют до назначения этих определений политик, не сообщают о соответствии. -
Microsoft.LoadTestService.Dataдля ограничения экземпляров нагрузочного тестирования Azure на частные конечные точки.
Примечание.
Если не указано явно, режимы поставщика ресурсов поддерживают только встроенные определения политик, а исключения не поддерживаются на уровне компонента.
При выпуске функции версионирования Azure Policy, следующие режимы поставщика ресурсов не будут поддерживать встроенное версионирование:
Microsoft.DataFactory.DataMicrosoft.MachineLearningServices.v2.DataMicrosoft.ManagedHSM.Data
Версия (предварительная версия)
Встроенные определения политик могут содержать несколько версий с одним и тем же definitionID. Если номер версии не указан, все интерфейсы будут отображать последнюю версию определения. Чтобы просмотреть определенную версию встроенного элемента, ее необходимо указать в API, SDK или UI. Чтобы ссылаться на определенную версию определения в назначении, см. версию определения в назначении
Служба Azure Policy использует свойства version, preview и deprecated для передачи состояния и уровня изменений встроенному определению политики или инициативы. Формат version — {Major}.{Minor}.{Patch}. Если определение политики находится в состоянии предварительной версии, суффикс предварительного просмотра добавляется к version свойству и рассматривается как логическое значение. Если определение политики снимается с поддержки, эта информация фиксируется как логическое значение в метаданных определения с помощью "deprecated": "true".
- Основная версия (пример: 2.0.0): внесите критические изменения, такие как основные изменения логики правил, удаление параметров, добавление эффекта принудительного применения по умолчанию.
- Дополнительная версия (пример: 2.1.0): вводятся такие изменения, как незначительные изменения логики правила, добавление новых допустимых параметров, изменение
roleDefinitionIds, добавление или перемещение определений в рамках инициативы. - Версия исправления (например, 2.1.4): внесение изменений в строки или метаданные и чрезвычайные сценарии безопасности (редко).
Дополнительные сведения о встроенных версиях Политика Azure см. в разделе "Встроенное управление версиями". Дополнительные сведения о том, что означает, что политика является устаревшей или доступна в виде предварительной версии, см. в разделе Предварительные версии политик и устаревшие политики.
Метаданные
В необязательном свойстве metadata хранится информация об определении политики. Клиенты могут определять любые свойства и значения, полезные для организации, в свойстве metadata. Однако существуют некоторые распространенные свойства, используемые Azure Policy и встроенными политиками. Каждое metadata свойство имеет лимит в 1024 символа.
Общие свойства метаданных
-
version(строка): отслеживает сведения о версии содержимого определения политики. -
category(строка): определяет, в какой категории на портале Azure отображается определение политики. -
preview(логическое): флаг, указывающий, является ли определение политики предварительным (истина или ложь). -
deprecated(логическое значение): Флаг со значением true или false указывает, помечено ли определение политики как устаревшее. -
portalReview(строка): определяет, следует ли проверять параметры на портале независимо от требуемых входных данных.
Расположение определения
При создании инициативы или политики необходимо указывать расположение определения. Расположение определения должно быть задано как группа управления или подписка. Местоположение определяет степень, в которой можно назначить инициативу или политику. Ресурсы должны быть непосредственными членами или дочерними элементами в иерархии местоположения определения для назначения.
Если определение находится в:
- Подписка - определение политики можно назначить только ресурсам в этой подписке.
- Группа управления – определение политики можно применять только к ресурсам из дочерних групп управления и дочерних подписок. Если вы планируете применять определение политики к нескольким подпискам, то местом должно быть группа управления, содержащая каждую подписку.
Дополнительную информацию см. в разделе Понимание области в Политике Azure.
Следующие шаги
- Дополнительные сведения о структуре определения политики см. в параметрах, правиле политики и псевдониме.
- Для инициатив перейдите к структуре определения инициативы.
- Изучите примеры на странице примеров Политики Azure.
- Изучите сведения о действии политик.
- Узнайте о программном создании политик.
- Узнайте, как получать данные о соответствии.
- Узнайте, как исправлять несоответствующие ресурсы.
- Дополнительные сведения о группе управления см. в статье Упорядочивание ресурсов с помощью групп управления Azure.