Azure İlkesi'da kapsamı anlama
Değerlendirilebilecek kaynakları ve Azure İlkesi hangi kaynakları değerlendirdiğini belirleyen birçok ayar vardır. Bu denetimlerin birincil kavramı kapsamtır. Azure İlkesi kapsamı, Kapsamın Azure Resource Manager'da nasıl çalıştığına bağlıdır. Üst düzey genel bakış için bkz . Azure Resource Manager'da kapsam.
Bu makalede, Azure İlkesi kapsamın önemi ve ilgili nesneler ve özellikler açıklanmaktadır.
Tanım konumu
Azure İlkesi tarafından kullanılan ilk örnek kapsamı, bir ilke tanımı oluşturulduğunda kullanılır. Tanım bir yönetim grubuna veya aboneliğe kaydedilebilir. Konum, girişimin veya ilkenin atanabileceği kapsamı belirler. Kaynaklar, atama için hedeflenecek tanım konumunun kaynak hiyerarşisinde olmalıdır. Azure İlkesi kapsamındaki kaynaklar ilkelerin nasıl değerlendirildiği açıklanır.
Tanım konumu bir ise:
- Abonelik: İlkenin tanımlandığı abonelik ve bu abonelik içindeki kaynaklara ilke tanımı atanabilir.
- Yönetim grubu: İlkenin tanımlandığı yönetim grubuna ve alt yönetim grupları ile alt abonelikler içindeki kaynaklara ilke tanımı atanabilir. İlke tanımını birkaç aboneliğe uygulamayı planlıyorsanız, konumun her aboneliği içeren bir yönetim grubu olması gerekir.
Konum, var olan ilke tanımını kullanmak istediğiniz tüm kaynaklar tarafından paylaşılan kaynak kapsayıcısı olmalıdır. Bu kaynak kapsayıcısı genellikle kök yönetim grubuna yakın bir yönetim grubudur.
Atama kapsamları
Atamanın kapsamı ayarlayan birkaç özelliği vardır. Bu özelliklerin kullanılması, Azure İlkesi için hangi kaynağın değerlendirileceğini ve hangi kaynakların uyumluluk açısından sayılıp sayılamadığını belirler. Bu özellikler aşağıdaki kavramlarla eşler:
- Ekleme: Tanım, kaynak hiyerarşisi veya tek bir kaynak için uyumluluğu değerlendirir. Atama nesnesinin kapsamı, uyumluluk için nelerin dahil edilmesi ve değerlendirileceğini belirler. Daha fazla bilgi için bkz. atama yapısı Azure İlkesi.
- Dışlama: Tanım, kaynak hiyerarşisi veya tek bir kaynak için uyumluluğu değerlendirmemelidir. Atama
properties.notScopesnesnesinde dizi özelliği nelerin dışlanması gerekeceğini belirler. Bu kapsamlardaki kaynaklar değerlendirilmez veya uyumluluk sayısına dahil değildir. Daha fazla bilgi için bkz. atama yapısı dışlanan kapsamları Azure İlkesi.
İlke atamasının özelliklerine ek olarak, Azure İlkesi muafiyet yapısı nesnesidir. Muafiyetler, değerlendirme yapılmaması için atamanın bir bölümünü tanımlamak için bir yöntem sağlayarak kapsam hikayesini geliştirir.
Muafiyet: Tanım, kaynak hiyerarşisi veya tek bir kaynak için uyumluluğu değerlendirir, ancak başka bir yöntemle feragat veya risk azaltma gibi bir nedenden dolayı değerlendirmez. Bu durumdaki kaynaklar, izlenebilmeleri için uyumluluk raporlarında Muaf olarak gösterilir. Muafiyet nesnesi, kaynak hiyerarşisinde veya tek bir kaynakta alt nesne olarak oluşturulur ve bu da muafiyetin kapsamını belirler. Kaynak hiyerarşisi veya tek tek kaynaklar birden çok atamadan muaf tutulabilir. Muafiyet, özelliğini kullanarak expiresOn bir zamanlamaya göre süresi dolacak şekilde yapılandırılabilir. Daha fazla bilgi için bkz. Azure İlkesi muafiyet yapısı.
Not
Kaynak hiyerarşisi veya tek bir kaynak için muafiyet vermenin etkisi nedeniyle, muafiyetlerin ek güvenlik önlemleri vardır. Kaynak hiyerarşisinde Microsoft.Authorization/policyExemptions/write veya tek bir kaynakta işlemi gerektirmeye ek olarak, bir muafiyeti oluşturanın hedef atamada fiili olmalıdır exempt/Action .
Kapsam karşılaştırması
Aşağıdaki tabloda kapsam seçeneklerinin karşılaştırması yer alır:
| Kaynaklar | Eklenmesi | Dışlama (notScopes) | Muafiyet |
|---|---|---|---|
| Kaynaklar değerlendirilir | ✔ | - | - |
| Resource Manager nesnesi | - | - | ✔ |
| İlke atama nesnesinin değiştirilmesini gerektirir | ✔ | ✔ | - |
Peki dışlama mı yoksa muafiyet mi kullanacağınızı nasıl seçersiniz? Genellikle dışlamaların, aynı idare düzeyini gerektirmeyen bir test ortamı gibi geniş bir kapsam için değerlendirmeyi kalıcı olarak atlaması önerilir. Muafiyetler, bir kaynağın veya kaynak hiyerarşisinin hala izlenmesi ve başka bir şekilde değerlendirilmesi gereken zamana bağlı veya daha belirli senaryolar için önerilir, ancak uyumluluk açısından değerlendirilmemesi gereken belirli bir neden vardır.
Sonraki adımlar
- İlke tanımı yapısı hakkında bilgi edinin.
- Program aracılığıyla ilkelerin nasıl oluşturulacağını anlama.
- Uyumluluk verilerini almayı öğrenin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
- Kaynaklarınızı Azure yönetim gruplarıyla düzenleme hakkında daha fazla bilgi edinin.