Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует множество параметров, определяющих, какие ресурсы могут оцениваться и какие ресурсы Политика Azure оценивает. Основным термином для этих элементов управления является область. Область в политике Azure определяется в зависимости от того, как она работает в Azure Resource Manager. Для общего обзора см. раздел Область охвата в Azure Resource Manager.
В этой статье объясняется важность области в Политике Azure и связанных объектов и свойств.
Расположение определения
Первая область действия, используемая политикой Azure, — это при создании определения политики. Определение может быть сохранено в группе управления или подписке. Местоположение определяет область, к которой можно отнести инициативу или политику. Ресурсы должны находиться в иерархии ресурсов места определения для назначения. Ресурсы, охватываемые Политика Azure, описывают, как оцениваются политики.
Если место определения:
- Подписка: подписка, в которой определена политика, и в которой ресурсы можно связать с определением этой политики.
- Группа управления: группа управления, в которой определяется политика, в соответствии с которой ресурсы в дочерних группах управления и дочерних подписках можно назначать. Если вы планируете применять определение политики к нескольким подпискам, расположение должно быть группой управления, содержащей каждую подписку.
Расположение должно быть контейнером ресурсов, совместно используемым всеми ресурсами, для которых вы хотите использовать определение политики. Такой контейнер ресурсов обычно является группой управления, расположенной рядом с корневой группой управления.
Области назначения
Назначение имеет несколько свойств, определяющих его область. Использование этих свойств определяет, какой ресурс Azure Policy будет оцениваться, и какие ресурсы учитываются при проверке на соответствие. Эти свойства соответствуют следующим понятиям.
- Включение. Определение оценивает соответствие иерархии ресурсов или отдельного ресурса. Область объекта назначения определяет, что следует включать и оценивать для соответствия требованиям. Для получения дополнительной информации см. раздел Структура назначения политик Azure.
- Исключение. Определение не должно оценивать соответствие иерархии ресурсов или отдельного ресурса. Свойство
properties.notScopesМассив объекта назначения определяет, что следует исключить. Ресурсы в этих областях не оцениваются и не входят в число соответствий. Дополнительные сведения см. в разделе Структура назначения политик Azure: исключенные области охвата.
В дополнение к свойствам назначения политики, существует объект структуры освобождения от политики Azure. Исключения расширяют контекст, предоставляя метод для определения части задания, которая не должна оцениваться.
Исключение. Определение оценивает соответствие иерархии ресурсов или отдельного ресурса, но не оценивается по такой причине, как отказ или устранение рисков с помощью другого метода. Ресурсы в этом состоянии отображаются как Исключенные в отчетах о соответствии, чтобы их можно было отслеживать. Объект исключения создается в иерархии ресурсов или отдельном ресурсе как дочерний объект, который определяет область исключения. Иерархию ресурсов или отдельный ресурс можно исключить из нескольких назначений. Освобождение может быть настроено на истечение срока действия в соответствии с расписанием с помощью свойства expiresOn. Дополнительные сведения см. в разделе структура исключений Azure Policy.
Примечание.
В связи с влиянием, которое оказывает предоставление исключения для иерархии ресурсов или отдельного ресурса, для исключений предусмотрены дополнительные меры безопасности. Помимо выполнения операции Microsoft.Authorization/policyExemptions/write с иерархией ресурсов или отдельным ресурсом, создатель исключения должен использовать команду exempt/Action в целевом назначении.
Сравнение областей
В следующей таблице представлено сравнение двух вариантов областей:
| Ресурсы | Инклюзия | Исключение (исключаемые области) | Исключение |
|---|---|---|---|
| Ресурсы оцениваются | ✔ | - | - |
| Объект Менеджер ресурсов | - | - | ✔ |
| Требуется изменение объекта назначения политики | ✔ | ✔ | - |
Как же выбрать, следует ли использовать исключение или освобождение? Обычно исключения рекомендуются для постоянного обхода оценки для широкой области, такой как тестовая среда, которая не требует того же уровня управления. Исключения рекомендуется использовать для сценариев, ограниченных по времени или более конкретных, когда необходимо отслеживать ресурс или иерархию ресурсов, которая в противном случае подлежала бы оценке, но есть конкретная причина, по которой её оценка на соответствие требованиям не требуется.
Следующие шаги
- Узнайте больше о структуре определения политик.
- Узнайте о программном создании политик.
- Узнайте, как получать данные о соответствии.
- Узнайте, как исправлять несоответствующие ресурсы.
- Узнайте больше о том, как упорядочить ресурсы с помощью групп управления Azure.