Wzorzec usługi Azure Policy: efekty
Usługa Azure Policy ma wiele efektów , które określają, jak usługa reaguje na niezgodne zasoby. Niektóre efekty są proste i nie wymagają dodatkowych właściwości w definicji zasad, podczas gdy inne wymagają kilku właściwości.
Przykład 1. Efekt prosty
Ta definicja zasad sprawdza, czy tag zdefiniowany w parametrze tagName istnieje w ocenianym zasobie. Jeśli tag jeszcze nie istnieje, efekt modyfikacji zostanie wyzwolony, aby dodać tag z wartością w tagValue parametru.
{
"properties": {
"displayName": "Add a tag to resource groups",
"policyType": "BuiltIn",
"mode": "All",
"description": "Adds the specified tag and value when any resource group missing this tag is created or updated. Existing resource groups can be remediated by triggering a remediation task. If the tag exists with a different value it will not be changed.",
"metadata": {
"version": "1.0.0",
"category": "Tags"
},
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'environment'"
}
},
"tagValue": {
"type": "String",
"metadata": {
"displayName": "Tag Value",
"description": "Value of the tag, such as 'production'"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Resources/subscriptions/resourceGroups"
},
{
"field": "[concat('tags[', parameters('tagName'), ']')]",
"exists": "false"
}
]
},
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
}
}
}
}
Przykład 1: Wyjaśnienie
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
Efekt modyfikacji wymaga bloku policyRule.then.details definiującego identyfikatory roleDefinitionIds i operacje. Te parametry informują usługę Azure Policy o tym, jakie role są potrzebne, aby dodać tag i skorygować zasób oraz które operacje modyfikacji mają być używane. W tym przykładzie operacja dodawania i parametry są używane do ustawiania tagu i jego wartości.
Przykład 2. Efekt złożony
Ta definicja zasad przeprowadza inspekcję każdej maszyny wirtualnej, jeśli rozszerzenie zdefiniowane w parametrach wydawcy i typu nie istnieje. Używa on auditIfNotExists do sprawdzania zasobu powiązanego z maszyną wirtualną, aby sprawdzić, czy istnieje wystąpienie zgodne ze zdefiniowanymi parametrami. W tym przykładzie sprawdza typ rozszerzeń .
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "audit-vm-extension",
"properties": {
"displayName": "Audit if extension does not exist",
"description": "This policy audits if a required extension doesn't exist.",
"parameters": {
"publisher": {
"type": "String",
"metadata": {
"description": "The publisher of the extension",
"displayName": "Extension Publisher"
}
},
"type": {
"type": "String",
"metadata": {
"description": "The type of the extension",
"displayName": "Extension Type"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"field": "Microsoft.Compute/imagePublisher",
"in": [
"MicrosoftWindowsServer"
]
},
{
"field": "Microsoft.Compute/imageOffer",
"in": [
"WindowsServer"
]
}
]
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
}
}
}
}
Przykład 2. Wyjaśnienie
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
Efekt auditIfNotExists wymaga bloku policyRule.then.details, aby zdefiniować zarówno typ, jak i element existenceCondition do wyszukania. Funkcja existenceCondition używa elementów języka zasad, takich jak operatory logiczne, w celu określenia, czy istnieje pasujący powiązany zasób. W tym przykładzie wartości sprawdzane względem każdego aliasu są definiowane w parametrach .
Następne kroki
- Przejrzyj inne wzorce i wbudowane definicje.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.