Azure Policy での適用性とは
ポリシー定義がスコープに割り当てられると、Azure Policy ではそのスコープ内のどのリソースをコンプライアンス評価のために考慮するかが決定されます。 リソースは、特定のポリシー割り当てに適用可能と見なされる場合にのみ、コンプライアンスに対して評価されます。
適用性は、いくつかの要因によって決まります。
- ポリシー ルール の
ifブロックの条件。 - ポリシー定義のモード。
- 割り当てで指定されている、除外されたスコープ。
- 割り当てで指定されたリソース セレクター。
- リソースまたはリソース階層の除外。
ポリシー ルールの if ブロック内の条件は、効果に基づいて、適用性について少し異なる方法で評価されます。
注意
適用性はコンプライアンスとは異なり、それぞれを決定するために使用されるロジックは異なります。 リソースが適用可能ということは、ポリシーに関連していることを意味します。 リソースが準拠しているということは、ポリシーに従うことを意味します。 ポリシー ルールの特定の条件のみが適用性に影響し、ポリシー ルールのすべての条件がコンプライアンス状態に影響する場合があります。
Resource Manager のモード
-IfNotExists ポリシーの効果
AuditIfNotExists および DeployIfNotExists ポリシーの適用性は、ポリシー 規則の if 条件全体に基づいています。 if の評価結果が false の場合、ポリシーは適用されません。
その他すべてのポリシーの効果
Azure Policy では、ポリシー ルールの if 式のtype、name、kind 条件のみを評価し、他の条件を true (または否定された場合は false) として扱います。 最終的な評価結果が true の場合、ポリシーが適用されます。 それ以外の場合は適用されません。
前に説明した適用性のロジックの特殊なケースを次に示します。
| シナリオ | 結果 |
|---|---|
if 条件内の無効なエイリアス |
ポリシーは適用されません |
if 条件が kind 条件のみで構成されている場合 |
ポリシーはすべてのリソースに適用されます |
if 条件が name 条件のみで構成されている場合 |
ポリシーはすべてのリソースに適用されます |
if 条件が type および kind 条件のみで構成されている場合 |
適用性を決定する際に考慮されるのは type 条件のみです |
if 条件が type および name 条件のみで構成されている場合 |
適用性を決定する際に考慮されるのは type 条件のみです |
if 条件が type、kind、およびその他の条件で構成されている場合 |
適用性を決定する際に type と kind の両方が考慮されます |
if 条件が type、name、およびその他の条件で構成されている場合 |
適用性を決定する際に type と name の両方が考慮されます |
location 条件 (デプロイ パラメーターを含む) に条件が含まれている場合 |
サブスクリプションには適用されません |
リソース プロバイダーのモード
Microsoft.Kubernetes.Data
Microsoft.Kubernetes.Data ポリシーの適用性は、ポリシー 規則の if 条件全体に基づいています。 if の評価結果が false の場合、ポリシーは適用されません。
Microsoft.KeyVault.Data、Microsoft.ManagedHSM.Data、Microsoft.DataFactory.Data、Microsoft.MachineLearningServices.v2.Data
これらの RP モードのポリシーは、ポリシー規則の type 条件が true と評価された場合に適用されます。 type は、コンポーネントの種類を指します。
Key Vault コンポーネントの種類:
- Microsoft.KeyVault.Data/vaults/certificates
- Microsoft.KeyVault.Data/vaults/keys
- Microsoft.KeyVault.Data/vaults/secrets
マネージド HSM コンポーネントの種類:
- Microsoft.ManagedHSM.Data/managedHsms/keys
Azure Data Factory コンポーネントの種類:
- Microsoft.DataFactory.Data/factories/outboundTraffic
Azure Machine Learning コンポーネントの種類:
- Microsoft.MachineLearningServices.v2.Data/ワークスペース/展開
Microsoft.Network.Data
モード Microsoft.Network.Data のポリシーは、ポリシー規則の type および name 条件が true と評価された場合に適用されます。 type は、次のようなコンポーネントの種類を指します。
- Microsoft.Network/virtualNetworks
適用されないリソース
リソースが条件またはスコープに基づいて割り当てに適用されるが、ビジネス上の理由から適用すべきでない場合があります。 その時点で、除外または適用除外を適用することをお勧めします。 どちらを使用するかの詳細については、スコープの比較をご覧ください
Note
設計上、Azure Policy は、サブスクリプションとリソース グループを除き、ポリシー評価からの Microsoft.Resources リソース プロバイダー (RP) のリソースを評価しません。
次のステップ
- 適用対象外としてリソースをマークする方法をご覧ください。
- 適用性の制限についての詳細をご覧ください。
- Azure リソースのコンプライアンス データを取得する方法を学習します。
- リソースの種類のポリシーのポリシー コンプライアンスの更新情報を確認します。