Řešení chyb typu Zásady požadavek nepovolují

Při nasazování šablony Azure Resource Manageru (šablony ARM) nebo souboru Bicep se zobrazí RequestDisallowedByPolicy chyba, když některý z prostředků k nasazení nevyhovuje existující službě Azure Policy.

Příznaky

Během nasazení se může zobrazit chyba RequestDisallowedByPolicy bránící ve vytvoření prostředku. V protokolu aktivit Azure CLI, Azure PowerShellu i webu Azure Portal se zobrazí podobné informace o chybě. Klíčovými prvky jsou kód chyby, přiřazení zásad a definice zásad.

"statusMessage": "{"error":{"code":"RequestDisallowedByPolicy", "target":"examplenic1207",
  "message":"Resource `examplenic1207` was disallowed by policy. Policy identifiers:

"policyAssignment":{"name":"Network interfaces should not have public IPs",
  "id":"/subscriptions/{guid}/providers/Microsoft.Authorization/policyAssignments/1111aa2222bb3333cc4444dd"}

"policyDefinition":{"name":"Network interfaces should not have public IPs",
  "id":"/subscriptions/{guid}/providers/Microsoft.Authorization/policyDefinitions/83a86a26-fd1f-447c-b59d-e51f44264114"}

Zástupný symbol {guid} v řetězci id představuje ID předplatného Azure. Název policyAssignment nebo policyDefinition je poslední segment řetězce id.

Příčina

Vaše organizace přiřazuje zásady k vynucování standardů organizace a k posouzení dodržování předpisů ve velkém měřítku. Pokud se pokoušíte nasadit prostředek, který porušuje zásady, je nasazení zablokované.

Vaše předplatné může mít například zásadu, která brání veřejným IP adresám v síťových rozhraních. Pokud se pokusíte vytvořit síťové rozhraní s veřejnou IP adresou, zásady vám zablokuje vytvoření síťového rozhraní.

Řešení

Pokud chcete tuto chybu vyřešit RequestDisallowedByPolicy při nasazování šablony ARM nebo souboru Bicep, musíte zjistit, které zásady blokují nasazení. V rámci této zásady je potřeba zkontrolovat pravidla, abyste mohli aktualizovat nasazení tak, aby vyhovovalo zásadám.

Chybová zpráva obsahuje názvy definice zásady a přiřazení zásad, které způsobily chybu. K získání dalších informací o zásadách potřebujete tyto názvy.

Azure CLI

Pokud chcete získat další informace o definici zásady, použijte příkaz az policy definition show.

az policy definition show --name {policy-name}

Pokud chcete získat další informace o přiřazení zásady, použijte příkaz az policy assignment show.

az policy assignment show --name {assignment-name} --resource-group {resource-group-name}

PowerShell

Pokud chcete získat další informace o definici zásady, použijte příkaz Get-AzPolicyDefinition.

Rutina ConvertTo-Json má parametr Depth, který rozšiřuje výstup a výchozí hodnota je 2. Další informace najdete v tématu ConvertTo-Json.

$subid = (Get-AzContext).Subscription.Id
$defname = "<policy definition name>"
(Get-AzPolicyDefinition -Id "/subscriptions/$subid/providers/Microsoft.Authorization/policyDefinitions") |
  Where-Object -Property Name -EQ -Value $defname |
    ConvertTo-Json -Depth 10

Pokud chcete získat další informace o přiřazení zásady, použijte příkaz Get-AzPolicyAssignment.

$rg = Get-AzResourceGroup -Name "<resource group name>"
$assignmentname = "<policy assignment name>"
Get-AzPolicyAssignment -Name $assignmentname -Scope $rg.ResourceId | ConvertTo-Json -Depth 5

V definici zásady se zobrazí popis zásad a použitých pravidel. Zkontrolujte pravidla a aktualizujte šablonu ARM nebo soubor Bicep tak, aby vyhovovaly pravidlům. Pokud například pravidlo uvádí, že přístup k veřejné síti je zakázaný, musíte aktualizovat odpovídající vlastnosti prostředku.

Další informace najdete v následujících článcích:

• Co je Azure Policy?
• Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů
• Předdefinované definice zásad Azure Policy