O que é aplicabilidade na Política do Azure?
Quando uma definição de política é atribuída a um escopo, a Política do Azure determina quais recursos nesse escopo devem ser considerados para avaliação de conformidade. Um recurso só é avaliado quanto à conformidade se for considerado aplicável à atribuição de política em questão.
Vários fatores determinam a aplicabilidade:
- Condições no
ifbloco da regra de política. - Modo de definição da política.
- Escopos excluídos especificados na atribuição.
- Seletores de recursos especificados na atribuição.
- Isenções de recursos ou hierarquias de recursos.
As condições no bloco da regra de política são avaliadas quanto à aplicabilidade de maneiras ligeiramente diferentes com base no if efeito.
Nota
A aplicabilidade é diferente da conformidade, e a lógica usada para determinar cada uma é diferente. Se um recurso for aplicável , isso significa que é relevante para a política. Se um recurso estiver em conformidade, isso significa que ele adere à política. Às vezes, apenas determinadas condições da regra de política afetam a aplicabilidade, enquanto todas as condições da regra de política afetam o estado de conformidade.
Modos do Resource Manager
Efeitos da política ifNotExists
A aplicabilidade das AuditIfNotExists políticas e DeployIfNotExists baseia-se em toda if a condição da regra política. Quando a if avaliação é falsa, a política não é aplicável.
Todos os outros efeitos políticos
A Política do Azure avalia apenas type, namee kind condições na expressão da regra if de política e trata outras condições como verdadeiras (ou falsas quando negadas). Se o resultado final da avaliação for verdadeiro, a política é aplicável. Caso contrário, não é aplicável.
Seguem-se casos especiais para a lógica de aplicabilidade anteriormente descrita:
| Cenário | Result |
|---|---|
Quaisquer aliases inválidos nas if condições |
A política não é aplicável |
Quando as if condições consistem apenas kind em condições |
A política é aplicável a todos os recursos |
Quando as if condições consistem apenas name em condições |
A política é aplicável a todos os recursos |
Quando as if condições consistem em apenas type e kind condições |
Apenas type as condições são consideradas ao decidir a aplicabilidade |
Quando as if condições consistem em apenas type e name condições |
Apenas type as condições são consideradas ao decidir a aplicabilidade |
Quando as if condições consistirem em type, kinde outras condições |
Ambas as type condições são kind consideradas ao decidir a aplicabilidade |
Quando as if condições consistirem em type, namee outras condições |
Ambas as type condições são name consideradas ao decidir a aplicabilidade |
Quando quaisquer condições (incluindo parâmetros de implantação) incluem uma location condição |
Não se aplica a subscrições |
Modos de provedor de recursos
Microsoft.Kubernetes.Data
A aplicabilidade das Microsoft.Kubernetes.Data políticas baseia-se em toda if a condição da regra política. Quando a if avaliação é falsa, a política não é aplicável.
Microsoft.KeyVault.Data, Microsoft.ManagedHSM.Data, Microsoft.DataFactory.Data e Microsoft.MachineLearningServices.v2.Data
As políticas com esses modos de provedor de recursos serão aplicáveis se a type condição da regra de política for avaliada como true. O type refere-se ao tipo de componente.
Tipos de componentes do Key Vault:
Microsoft.KeyVault.Data/vaults/certificatesMicrosoft.KeyVault.Data/vaults/keysMicrosoft.KeyVault.Data/vaults/secrets
Tipo de componente HSM (Managed Hardware Security Module):
Microsoft.ManagedHSM.Data/managedHsms/keys
Tipo de componente do Azure Data Factory:
Microsoft.DataFactory.Data/factories/outboundTraffic
Tipo de componente do Azure Machine Learning:
Microsoft.MachineLearningServices.v2.Data/workspaces/deployments
Microsoft.Network.Data
As políticas com modo Microsoft.Network.Data são aplicáveis se as condições e name da type regra de política forem avaliadas como verdadeiras. O type refere-se ao tipo de componente:
Microsoft.Network/virtualNetworks
Recursos não aplicáveis
Pode haver situações em que os recursos são aplicáveis a uma atribuição com base em condições ou escopo, mas eles não devem ser aplicáveis devido a razões comerciais. Nessa altura, seria melhor aplicar exclusões ou isenções. Para saber mais sobre quando usar qualquer um deles, revise a comparação de escopo
Nota
Por design, a Política do Azure não avalia recursos sob o provedor de recursos a Microsoft.Resources partir da avaliação de políticas, exceto para assinaturas e grupos de recursos.
Próximos passos
- Saiba como marcar recursos como não aplicáveis.
- Apoiar-se mais nas limitações de aplicabilidade
- Saiba como Obter dados de conformidade dos recursos do Azure.
- Analise a atualização em conformidade com a política para políticas de tipo de recurso.