Partilhar via


Padrão da Política do Azure: parâmetros

Uma definição de política pode ser dinamizada para reduzir o número de definições de política necessárias usando parâmetros. O parâmetro é definido durante a atribuição de política. Os parâmetros têm um conjunto de propriedades predefinidas que descrevem o parâmetro e como ele é usado.

Amostra 1: Parâmetros de cadeia de caracteres

Esta definição de política usa dois parâmetros, tagName e tagValue, para definir o que a atribuição de política está procurando em recursos. Esse formato permite que a definição de política seja usada para qualquer número de combinações de nome e valor de tag, mas mantenha apenas uma única definição de política.

Nota

Para obter um exemplo de tag que usa o modo Tudo e funciona com um grupo de recursos, consulte Padrão: Tags - Exemplo #1.

{
    "properties": {
        "displayName": "Require tag and its value",
        "policyType": "BuiltIn",
        "mode": "Indexed",
        "description": "Enforces a required tag and its value. Does not apply to resource groups.",
        "parameters": {
            "tagName": {
                "type": "String",
                "metadata": {
                    "description": "Name of the tag, such as costCenter"
                }
            },
            "tagValue": {
                "type": "String",
                "metadata": {
                    "description": "Value of the tag, such as headquarter"
                }
            }
        },
        "policyRule": {
            "if": {
                "not": {
                    "field": "[concat('tags[', parameters('tagName'), ']')]",
                    "equals": "[parameters('tagValue')]"
                }
            },
            "then": {
                "effect": "deny"
            }
        }
    }
}

Exemplo 1: Explicação

"tagName": {
    "type": "String",
    "metadata": {
        "description": "Name of the tag, such as costCenter"
    }
},

Nesta parte da definição de política, o parâmetro tagName é definido como uma cadeia de caracteres e uma descrição é fornecida para seu uso.

O parâmetro é usado no bloco policyRule.if para tornar a política dinâmica. Aqui, ele é usado para definir o campo que é avaliado, que é uma tag com o valor de tagName.

"if": {
    "not": {
        "field": "[concat('tags[', parameters('tagName'), ']')]",
        "equals": "[parameters('tagValue')]"
    }
},

Amostra 2: Parâmetros da matriz

Esta definição de política usa um único parâmetro, listOfBandwidthinMbps, para verificar se o recurso Circuito de Rota Expressa configurou a configuração de largura de banda para um dos valores aprovados. Se não corresponder, a criação ou atualização do recurso será negada.

{
    "properties": {
        "displayName": "Allowed Express Route bandwidth",
        "description": "This policy enables you to specify a set of express route bandwidths that your organization can deploy.",
        "parameters": {
            "listOfBandwidthinMbps": {
                "type": "Array",
                "metadata": {
                    "description": "The list of SKUs that can be specified for express route.",
                    "displayName": "Allowed Bandwidth"
                }
            }
        },
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.Network/expressRouteCircuits"
                    },
                    {
                        "not": {
                            "field": "Microsoft.Network/expressRouteCircuits/serviceProvider.bandwidthInMbps",
                            "in": "[parameters('listOfBandwidthinMbps')]"
                        }
                    }
                ]
            },
            "then": {
                "effect": "Deny"
            }
        }
    }
}

Exemplo 2: Explicação

"listOfBandwidthinMbps": {
    "type": "Array",
    "metadata": {
        "description": "The list of SKUs that can be specified for express route.",
        "displayName": "Allowed Bandwidth"
    }
}

Nesta parte da definição de política, o parâmetro listOfBandwidthinMbps é definido como uma matriz e uma descrição é fornecida para seu uso. Como uma matriz, ele tem vários valores para corresponder.

O parâmetro é então usado no bloco policyRule.if . Como um parâmetro de matriz, uma condição de matrizin ou notIn deve ser usada. Aqui, ele é usado no alias serviceProvider.bandwidthInMbps como um dos valores definidos.

"not": {
    "field": "Microsoft.Network/expressRouteCircuits/serviceProvider.bandwidthInMbps",
    "in": "[parameters('listOfBandwidthinMbps')]"
}

Amostra 3: Efeito parametrizado

Uma maneira comum de tornar as definições de política reutilizáveis é parametrizar o próprio efeito. Este exemplo usa um único parâmetro, effect. Parametrizar o efeito torna possível atribuir a mesma definição a diferentes escopos com efeitos diferentes.

{
    "properties": {
        "displayName": "All authorization rules except RootManageSharedAccessKey should be removed from Service Bus namespace",
        "policyType": "BuiltIn",
        "mode": "All",
        "description": "Service Bus clients should not use a namespace level access policy that provides access to all queues and topics in a namespace. To align with the least privilege security model, you should create access policies at the entity level for queues and topics to provide access to only the specific entity",
        "metadata": {
            "version": "1.0.1",
            "category": "Service Bus"
        },
        "parameters": {
            "effect": {
                "type": "string",
                "defaultValue": "Audit",
                "allowedValues": [
                    "Audit",
                    "Deny",
                    "Disabled"
                ],
                "metadata": {
                    "displayName": "Effect",
                    "description": "The effect determines what happens when the policy rule is evaluated to match"
                }
            }
        },
        "policyRule": {
            "if": {
                "allOf": [{
                        "field": "type",
                        "equals": "Microsoft.ServiceBus/namespaces/authorizationRules"
                    },
                    {
                        "field": "name",
                        "notEquals": "RootManageSharedAccessKey"
                    }
                ]
            },
            "then": {
                "effect": "[parameters('effect')]"
            }
        }
    }
}

Exemplo 3: Explicação

"parameters": {
    "effect": {
        "type": "string",
        "defaultValue": "Audit",
        "allowedValues": [
            "Audit",
            "Deny",
            "Disabled"
        ],
        "metadata": {
            "displayName": "Effect",
            "description": "The effect determines what happens when the policy rule is evaluated to match"
        }
    }
},

Nesta parte da definição de política, o parâmetro effect é definido como string. A definição de política define o valor padrão de uma atribuição a ser auditada e limita as outras opções a desabilitar e negar.

O parâmetro é então usado no bloco policyRule.then para o efeito.

"then": {
    "effect": "[parameters('effect')]"
}

Próximos passos