مشاركة عبر

تأثير تدقيق تعريفات نهج Azure

  • مقالة

audit يتم استخدام التأثير لإنشاء حدث تحذير في سجل النشاط عند تقييم مورد غير متوافق، ولكنه لا يوقف الطلب.

تقييم التدقيق

التدقيق هو آخر تأثير قام Azure Policy بالتحقق منه أثناء إنشاء مورد أو تحديثه. بالنسبة لوضع Resource Manager، يرسل Azure Policy المورد إلى موفر الموارد. عند تقييم طلب إنشاء أو تحديث لمورد، يضيف Azure Policy عملية Microsoft.Authorization/policies/audit/action إلى سجل النشاط ويميز المورد على أنه غير متوافق. أثناء دورة تقييم التوافق القياسية، لا يتم تحديث إلا حالة التوافق فقط على المورد.

خصائص التدقيق

بالنسبة إلى وضع Resource Manager، لا يحتوي تأثير التدقيق على أي خصائص أخرى للاستخدام في then حالة تعريف النهج.

بالنسبة إلى وضع موفر الموارد الخاص Microsoft.Kubernetes.Dataب ، يحتوي تأثير التدقيق على الخصائص الفرعية التالية ل details. استخدام templateInfo مطلوب لتعريفات النهج الجديدة أو المحدثة كما تم إهمالconstraintTemplate.

  • templateInfo (مطلوب)

    • لا يمكن استخدامها مع constraintTemplate.
    • sourceType (مطلوب)

      • تعرف نوع المصدر لقالب القيد. القيم المسموح بها: PublicURL أو Base64Encoded.

      • إذا كانت PublicURL، مقترنة بخاصية url لتوفير موقع قالب القيد. يجب أن يكون الموقع متاحًا للجمهور.

        تحذير

        لا تستخدم SAS URIs أو رموز URL المميزة أو أي شيء آخر قد يعرض الأسرار في نص عادي.

      • إذا كانت Base64Encoded، مقترنة بخاصية content لتوفير قالب القيد المشفرة 64 الأساسي. راجع إنشاء تعريف نهج من قالب القيد لإنشاء تعريف مخصص من قالب قيد Open Policy Agent (OPA) Gatekeeper v3 موجود.

  • constraint (مهمل)

    • لا يمكن استخدامها مع templateInfo.
    • تنفيذ CRD لقالب Constraint. يستخدم المعلمات التي تم تمريرها عبر values ك {{ .Values.<valuename> }}. في المثال 2 المذكور أدناه، هذه القيم هي {{ .Values.excludedNamespaces }} و{{ .Values.allowedContainerImagesRegex }}.

  • constraintTemplate (مهمل)

    • لا يمكن استخدامها مع templateInfo.
    • يجب استبدالها بـ templateInfo عند إنشاء تعريف نهج أو تحديثه.
    • قالب القيد CustomResourceDefinition (CRD) الذي يحدد القيود الجديدة. يعرف القالب منطق Rego ومخطط Constraint ومعلمات Constraint التي يتم تمريرها عبر values من Azure Policy. لمزيد من المعلومات، انتقل إلى قيود Gatekeeper.

  • constraintInfo (اختياري)

    • لا يمكن استخدامها مع constraintأو constraintTemplateأو apiGroupsأو kindsأو scopenamespacesexcludedNamespaces.labelSelector
    • إذا constraintInfo لم يتم توفيره، يمكن إنشاء القيد من templateInfo و النهج.
    • sourceType (مطلوب)

      • تعريف نوع المصدر للقيد. القيم المسموح بها: PublicURL أو Base64Encoded.

      • إذا ، PublicURLمقترنة بخاصية url لتوفير موقع القيد. يجب أن يكون الموقع متاحًا للجمهور.

        تحذير

        لا تستخدم معرفات URI لـ SAS أو الرموز المميزة في url أو أي شيء آخر يمكن أن يكشف بيانات سرية.

  • namespaces (اختياري)

    • صفيفمساحات أسماء Kubernetes للحد من تقييم النهج.
    • تؤدي القيمة الفارغة أو المفقودة إلى تضمين تقييم النهج كافة مساحات الأسماء غير المعرفة في مساحات الأسماء المستبعدة.

  • excludedNamespaces (اختياري)

  • labelSelector (اختياري)

    • عنصر يتضمن خصائص matchLabels (عنصر) وmatchExpression (صفيف) للسماح بتحديد موارد Kubernetes التي يجب تضمينها لتقييم النهج التي تطابق التسميات والمحددات المتوفرة.
    • تؤدي القيمة الفارغة أو المفقودة إلى تضمين تقييم النهج لكافة التسميات والمحددات، باستثناء تلك المعرفة في excludedNamespaces.

  • scope (اختياري)

    • سلسلة تتضمن خاصية النطاق للسماح بتحديد ما إذا كانت الموارد ذات نطاق المجموعة أو الموارد ذات نطاق الاسم متطابقة.

  • apiGroups (مطلوب عند استخدام templateInfo)

  • kinds (مطلوب عند استخدام templateInfo)

    • صفيف يتضمن kind عنصر Kubernetes للحد من التقييم إليه.
    • تعريف ["*"] لـkinds غير مسموح به.

  • values (اختياري)

    • تعرف أي من المعلمات والقيم لتمريرها إلى القيد. يجب أن تكون كل قيمة موجودة وتتطابق مع خاصية في قسم التحقق من الصحة openAPIV3Schema من قالب القيد CRD.

مثال التدقيق

مثال 1: استخدام تأثير التدقيق لأوضاع Resource Manager.

"then": {
  "effect": "audit"
}

مثال 2: استخدام تأثير التدقيق لوضع موفر الموارد Microsoft.Kubernetes.Data. تعلن المعلومات الإضافية في details.templateInfo عن استخدام PublicURL وتعيين url إلى موقع قالب Constraint لاستخدامه في Kubernetes للحد من صور الحاوية المسموح بها.

"then": {
  "effect": "audit",
  "details": {
    "templateInfo": {
      "sourceType": "PublicURL",
      "url": "https://store.policy.core.windows.net/kubernetes/container-allowed-images/v1/template.yaml",
    },
    "values": {
      "imageRegex": "[parameters('allowedContainerImagesRegex')]"
    },
    "apiGroups": [
      ""
    ],
    "kinds": [
      "Pod"
    ]
  }
}

الخطوات التالية