Erläuterungen zum Bereich in Azure Policy
Es gibt eine Reihe von Einstellungen, die bestimmen, welche Ressourcen ausgewertet werden können und welche Ressourcen von Azure Policy ausgewertet werden. Das primäre Konzept für diese Steuerungen ist der Bereich. Der Bereich in Azure Policy basiert auf der Funktionsweise des Bereichs in Azure Resource Manager. Eine allgemeine Übersicht finden Sie im Abschnitt „Bereich“ der Übersicht über Azure Resource Manager.
In diesem Artikel werden die Bedeutung des Bereichs in Azure Policy und die entsprechenden Objekte und Eigenschaften erläutert.
Definitionsspeicherort
In Azure Policy wird der Bereich erstmals verwendet, wenn eine Richtliniendefinition erstellt wird. Die Definition kann in einer Verwaltungsgruppe oder in einem Abonnement gespeichert werden. Der Speicherort bestimmt den Bereich, dem die Initiative oder Richtlinie zugewiesen werden kann. Ressourcen müssen sich in der Ressourcenhierarchie des Definitionsspeicherorts für die Zuweisung befinden. Die von Azure Policy abgedeckten Ressourcen beschreiben, wie Richtlinien ausgewertet werden.
Für den Definitionsspeicherort gilt Folgendes:
- Abonnement: Die Richtliniendefinition kann dem Abonnement, in dem die Richtlinie definiert ist, und Ressourcen innerhalb dieses Abonnements zugewiesen werden.
- Verwaltungsgruppe: Die Richtliniendefinition kann der Verwaltungsgruppe, in der die Richtlinie definiert ist, und Ressourcen in untergeordneten Verwaltungsgruppen und untergeordneten Abonnements zugewiesen werden. Wenn Sie die Richtliniendefinition auf mehrere Abonnements anwenden möchten, muss der Speicherort eine Verwaltungsgruppe sein, die das jeweilige Abonnement enthält.
Der Speicherort sollte der Ressourcencontainer sein, der von allen vorhandenen Ressourcen gemeinsam genutzt wird, für die Sie die Richtliniendefinition verwenden möchten, sofern vorhanden. Dieser Ressourcencontainer ist in der Regel eine Verwaltungsgruppe in der Nähe der Stammverwaltungsgruppe.
Zuweisungsbereiche
Eine Zuweisung verfügt über mehrere Eigenschaften, die einen Bereich festlegen. Durch die Verwendung dieser Eigenschaften wird festgelegt, welche Ressource für Azure Policy ausgewertet werden soll und welche Ressourcen als konforme Elemente gezählt werden. Diese Eigenschaften entsprechen den folgenden Konzepten:
- Einschluss: Eine Definition wertet die Konformität für eine Ressourcenhierarchie oder eine einzelne Ressource aus. Der Bereich eines Zuweisungsobjekts bestimmt, was eingeschlossen und auf Konformität überprüft werden soll. Weitere Informationen finden Sie unter Azure Policy-Zuweisungsstruktur.
- Ausschluss: Eine Definition sollte die Konformität für eine Ressourcenhierarchie oder eine einzelne Ressource nicht auswerten. Die Arrayeigenschaft
properties.notScopesbestimmt, was ausgeschlossen werden soll. Ressourcen in diesen Bereichen werden nicht ausgewertet und nicht in die Anzahl konformer Elemente einbezogen. Weitere Informationen finden Sie unter Azure Policy-Zuweisungsstruktur: Ausgeschlossene Bereiche.
Zusätzlich zu den Eigenschaften für die Richtlinienzuweisung ist das Objekt für die Azure Policy-Ausnahmenstruktur vorhanden. Ausnahmen erweitern die Bereichsstory, indem sie eine Methode bieten, einen Teil einer Zuweisung zu identifizieren, die nicht bewertet werden soll.
Ausnahme: Eine Definition wertet die Konformität für eine Ressourcenhierarchie oder einzelne Ressource aus. Sie wird jedoch nicht überprüft, wenn für sie ein Verzicht vorliegt oder wenn sie von einer anderen Methode behandelt wird. Ressourcen in diesem Zustand werden in Konformitätsberichten als Ausnahme angegeben, damit sie nachverfolgt werden können. Das Ausnahmeobjekt wird in der Ressourcenhierarchie oder der einzelnen Ressource als untergeordnetes Objekt erstellt. Dies bestimmt den Bereich der Ausnahme. Eine Ressourcenhierarchie oder eine einzelne Ressource kann von mehreren Zuweisungen ausgenommen werden. Die Ausnahme kann mit der expiresOn-Eigenschaft so konfiguriert werden, dass sie nach einem Zeitplan abläuft. Weitere Informationen finden Sie unter Azure Policy-Ausnahmenstruktur.
Hinweis
Aufgrund der Auswirkungen des Gewährens einer Ausnahme für eine Ressourcenhierarchie oder einzelne Ressource weisen Ausnahmen zusätzliche Sicherheitsmaßnahmen auf. Es ist nicht nur der Microsoft.Authorization/policyExemptions/write-Vorgang für die Ressourcenhierarchie oder einzelne Ressource erforderlich, sondern der Ersteller der Ausnahme muss auch über das Verb exempt/Action für die Zielzuweisung verfügen.
Bereichsvergleich
Die folgende Tabelle enthält einen Vergleich der Bereichsoptionen:
| Ressourcen | Einschluss | Ausschluss (notScopes) | Ausnahme |
|---|---|---|---|
| Ressourcen werden ausgewertet | ✔ | - | - |
| Resource Manager-Objekt | - | - | ✔ |
| Erfordert das Ändern des Richtlinienzuweisungsobjekts | ✔ | ✔ | - |
Wie können Sie also auswählen, ob Sie einen Ausschluss oder eine Ausnahme verwenden? In der Regel wird empfohlen, die Auswertung für einen breiten Bereich wie eine Testumgebung, die nicht denselben Governancegrad erfordert, dauerhaft zu umgehen. Ausnahmen werden für zeitgebundene oder spezifischere Szenarien empfohlen, in denen eine Ressource oder Ressourcenhierarchie weiterhin nachverfolgt und anderweitig ausgewertet werden sollte, wenn es aber einen bestimmten Grund gibt, warum sie nicht auf Konformität geprüft werden sollte.
Nächste Schritte
- Erfahren Sie mehr über die Struktur von Richtliniendefinitionen.
- Informieren Sie sich über das programmgesteuerte Erstellen von Richtlinien.
- Informieren Sie sich über das Abrufen von Konformitätsdaten.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.
- Erfahren Sie mehr über das Organisieren von Ressourcen mit Azure-Verwaltungsgruppen.