Azure Policy パターン: 効果
Azure Policy には、準拠していないリソースにサービスがどのように反応するかを決定する効果が多数あります。 ポリシー定義にプロパティを追加する必要のない単純な効果もあれば、複数のプロパティを必要とする効果もあります。
サンプル 1:単純な効果
このポリシー定義では、パラメーター tagName に定義されているタグが、評価対象のリソースに存在するかどうかを確認します。 タグがまだ存在しない場合は、modify 効果がトリガーされ、パラメーター tagValue の値を持つタグが追加されます。
{
"properties": {
"displayName": "Add a tag to resource groups",
"policyType": "BuiltIn",
"mode": "All",
"description": "Adds the specified tag and value when any resource group missing this tag is created or updated. Existing resource groups can be remediated by triggering a remediation task. If the tag exists with a different value it will not be changed.",
"metadata": {
"version": "1.0.0",
"category": "Tags"
},
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'environment'"
}
},
"tagValue": {
"type": "String",
"metadata": {
"displayName": "Tag Value",
"description": "Value of the tag, such as 'production'"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Resources/subscriptions/resourceGroups"
},
{
"field": "[concat('tags[', parameters('tagName'), ']')]",
"exists": "false"
}
]
},
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
}
}
}
}
サンプル 1:説明
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
modify 効果には、roleDefinitionIds および operations を定義する policyRule.then.details ブロックが必要です。 これらのパラメーターによって、タグを追加してリソースを修復するために必要なロールと、使用するべき変更操作が Azure Policy に通知されます。 この例では、"追加" 操作とパラメーターを使用してタグとその値が設定されます。
サンプル 2:複雑な効果
このポリシー定義では、パラメーター publisher および type で定義されている拡張機能が存在しない場合に、各仮想マシンの監査を行います。 auditIfNotExists を使用して、仮想マシンに関連するリソースをチェックし、定義したパラメーターに一致するインスタンスが存在するかどうかを確認します。 この例では、extensions の種類をチェックします。
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "audit-vm-extension",
"properties": {
"displayName": "Audit if extension does not exist",
"description": "This policy audits if a required extension doesn't exist.",
"parameters": {
"publisher": {
"type": "String",
"metadata": {
"description": "The publisher of the extension",
"displayName": "Extension Publisher"
}
},
"type": {
"type": "String",
"metadata": {
"description": "The type of the extension",
"displayName": "Extension Type"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"field": "Microsoft.Compute/imagePublisher",
"in": [
"MicrosoftWindowsServer"
]
},
{
"field": "Microsoft.Compute/imageOffer",
"in": [
"WindowsServer"
]
}
]
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
}
}
}
}
サンプル 2:説明
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
auditIfNotExists 効果には、検索する type および existenceCondition の両方を定義する policyRule.then.details が必要です。 existenceCondition は、論理演算子などのポリシー言語要素を使用して、一致する関連リソースが存在するかどうかを判断します。 この例では、各別名に対してチェックされる値はパラメーターで定義されています。
次のステップ
- その他のパターンと組み込みの定義を確認します。
- 「Azure Policy の定義の構造」を確認します。
- 「Policy の効果について」を確認します。