Compreender o âmbito na Política do Azure
Há muitas configurações que determinam quais recursos podem ser avaliados e quais recursos o Azure Policy avalia. O conceito principal para esses controles é o escopo. O escopo na Política do Azure é baseado em como o escopo funciona no Gerenciador de Recursos do Azure. Para obter uma visão geral de alto nível, consulte Escopo no Gerenciador de Recursos do Azure.
Este artigo explica a importância do escopo na Política do Azure e os objetos e propriedades relacionados.
Localização da definição
O escopo da primeira instância usado pela Política do Azure é quando uma definição de política é criada. A definição pode ser salva em um grupo de gerenciamento ou em uma assinatura. A localização determina o âmbito ao qual a iniciativa ou política pode ser atribuída. Os recursos devem estar dentro da hierarquia de recursos do local de definição a ser direcionado para atribuição. Os recursos cobertos pela Política do Azure descrevem como as políticas são avaliadas.
Se a localização da definição for uma:
- Assinatura: a assinatura em que a política é definida e os recursos dentro dessa assinatura podem ser atribuídos à definição de política.
- Grupo de gerenciamento: o grupo de gerenciamento onde a política é definida e os recursos dentro de grupos de gerenciamento filho e assinaturas filho podem ser atribuídos à definição de política. Se você planeja aplicar a definição de política a várias assinaturas, o local deve ser um grupo de gerenciamento que contenha cada assinatura.
O local deve ser o contêiner de recursos compartilhado por todos os recursos que você deseja usar a definição de política existente. Esse contêiner de recursos normalmente é um grupo de gerenciamento próximo ao grupo de gerenciamento raiz.
Escopos de atribuição
Uma atribuição tem várias propriedades que definem um escopo. O uso dessas propriedades determina qual recurso a Política do Azure deve ser avaliado e quais recursos contam para a conformidade. Essas propriedades são mapeadas para os seguintes conceitos:
- Inclusão: uma definição avalia a conformidade de uma hierarquia de recursos ou de um recurso individual. O escopo do objeto de atribuição determina o que incluir e avaliar para fins de conformidade. Para obter mais informações, consulte Estrutura de atribuição da Política do Azure.
- Exclusão: uma definição não deve avaliar a conformidade de uma hierarquia de recursos ou de um recurso individual. A
properties.notScopes
propriedade array em um objeto de atribuição determina o que excluir. Os recursos dentro desses escopos não são avaliados ou incluídos na contagem de conformidade. Para obter mais informações, consulte Escopos excluídos da estrutura de atribuição da Política do Azure.
Além das propriedades na atribuição de política, é o objeto de estrutura de isenção da Política do Azure. As isenções aumentam a história do escopo, fornecendo um método para identificar uma parte de uma atribuição a ser não avaliada.
Isenção: uma definição avalia a conformidade para uma hierarquia de recursos ou recurso individual, mas não avalia por um motivo, como uma renúncia ou mitigação por meio de outro método. Os recursos neste estado aparecem como Isentos em relatórios de conformidade para que possam ser rastreados. O objeto de isenção é criado na hierarquia de recursos ou recurso individual como um objeto filho, que determina o escopo da isenção. Uma hierarquia de recursos ou um recurso individual pode ser isento de várias atribuições. A isenção pode ser configurada para expirar em um cronograma usando a expiresOn
propriedade. Para obter mais informações, consulte Estrutura de isenção da Política do Azure.
Nota
Devido ao impacto da concessão de uma isenção para uma hierarquia de recursos ou recurso individual, as isenções têm medidas de segurança adicionais. Além de exigir a Microsoft.Authorization/policyExemptions/write
operação na hierarquia de recursos ou recurso individual, o criador de uma isenção deve ter o verbo exempt/Action
na atribuição de destino.
Comparação do âmbito de aplicação
A tabela a seguir é uma comparação das opções de escopo:
Recursos | Inclusão | Exclusão (notScopes) | Isenção |
---|---|---|---|
Os recursos são avaliados | ✔ | - | - |
Objeto do Gerenciador de Recursos | - | - | ✔ |
Requer a modificação do objeto de atribuição de política | ✔ | ✔ | - |
Então, como escolher se deseja usar uma exclusão ou isenção? Normalmente, as exclusões são recomendadas para ignorar permanentemente a avaliação para um escopo amplo, como um ambiente de teste que não requer o mesmo nível de governança. As isenções são recomendadas para cenários limitados no tempo ou mais específicos em que um recurso ou hierarquia de recursos ainda deve ser rastreado e seria avaliado, mas há um motivo específico pelo qual ele não deve ser avaliado quanto à conformidade.
Próximos passos
- Saiba mais sobre a estrutura de definição de políticas.
- Entenda como criar políticas de forma programática.
- Saiba como obter dados de conformidade.
- Saiba como corrigir recursos não compatíveis.
- Saiba mais sobre como Organizar seus recursos com grupos de gerenciamento do Azure.