你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az policy assignment

管理资源策略分配。

命令

名称 说明 类型 Status
az policy assignment create

创建资源策略分配。

核心 GA
az policy assignment delete

删除资源策略分配。

核心 GA
az policy assignment identity

管理策略分配的托管标识。

核心 GA
az policy assignment identity assign

将系统分配的标识或用户分配的标识添加到策略分配。

核心 GA
az policy assignment identity remove

从策略分配中删除托管标识。

核心 GA
az policy assignment identity show

显示策略分配的托管标识。

核心 GA
az policy assignment list

列出资源策略分配。

核心 GA
az policy assignment non-compliance-message

管理策略分配的不符合性消息。

核心 GA
az policy assignment non-compliance-message create

将不符合性消息添加到策略分配。

核心 GA
az policy assignment non-compliance-message delete

从策略分配中删除一个或多个不符合性消息。

核心 GA
az policy assignment non-compliance-message list

列出策略分配的不符合性消息。

核心 GA
az policy assignment show

显示资源策略分配。

核心 GA
az policy assignment update

更新资源策略分配。

核心 GA

az policy assignment create

创建资源策略分配。

az policy assignment create [--description]
                            [--display-name]
                            [--enforcement-mode {Default, DoNotEnforce}]
                            [--identity-scope]
                            [--location]
                            [--mi-system-assigned]
                            [--mi-user-assigned]
                            [--name]
                            [--not-scopes]
                            [--params]
                            [--policy]
                            [--policy-set-definition]
                            [--resource-group]
                            [--role]
                            [--scope]

示例

在范围内创建资源策略分配

Valid scopes are management group, subscription, resource group, and resource, for example
   management group:  /providers/Microsoft.Management/managementGroups/MyManagementGroup
   subscription:      /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333
   resource group:    /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup
   resource:          /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM
     az policy assignment create --scope \
        "/providers/Microsoft.Management/managementGroups/MyManagementGroup" \
            --policy {PolicyName} -p "{ \"allowedLocations\": \
                { \"value\": [ \"australiaeast\", \"eastus\", \"japaneast\" ] } }"

创建资源策略分配并提供规则参数值。

az policy assignment create --policy {PolicyName} -p "{ \"allowedLocations\": \
    { \"value\": [ \"australiaeast\", \"eastus\", \"japaneast\" ] } }"

使用系统分配的标识创建资源策略分配。

az policy assignment create --name myPolicy --policy {PolicyName} --mi-system-assigned --location eastus

使用系统分配的标识创建资源策略分配。 该标识将具有对订阅的“参与者”角色访问权限。

az policy assignment create --name myPolicy --policy {PolicyName} --mi-system-assigned --identity-scope /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --role Contributor --location eastus

使用用户分配的标识创建资源策略分配。

az policy assignment create --name myPolicy --policy {PolicyName} -g MyResourceGroup --mi-user-assigned myAssignedId --location westus

使用强制模式创建资源策略分配。 它指示在创建和更新分配期间是否强制实施策略效果。 有关详细信息,请访问 https://aka.ms/azure-policyAssignment-enforcement-mode。

az policy assignment create --name myPolicy --policy {PolicyName} --enforcement-mode 'DoNotEnforce'

可选参数

--description

策略分配的说明。

--display-name

策略分配的显示名称。

--enforcement-mode -e

策略分配的强制模式,例如 Default、DoNotEnforce。 有关详细信息,请访问 https://aka.ms/azure-policyAssignment-enforcement-mode

接受的值: Default, DoNotEnforce
默认值: Default
--identity-scope

系统分配的标识可以访问的范围。

--location -l

策略分配的位置。 仅当使用托管标识时才需要。

--mi-system-assigned

提供此标志以使用系统分配标识进行策略分配。 请查看有关更多示例的帮助。

--mi-user-assigned

要用于策略分配的 UserAssigned 标识 ID。 请查看有关更多示例的帮助。

--name -n

新策略分配的名称。

--not-scopes

策略分配不适用的空间分隔范围。

--params -p

JSON 格式的字符串或包含策略规则参数值的文件或 URI 的路径。

--policy

策略定义的名称或 ID。 如果未提供,则必须提供策略集定义参数。

--policy-set-definition -d

策略集定义的名称或 ID。 如果未提供,则必须提供策略定义参数。

--resource-group -g

将应用策略的资源组。

--role

将分配给托管标识的角色名称或 ID。

默认值: Contributor
--scope

此策略分配适用的范围。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az policy assignment delete

删除资源策略分配。

az policy assignment delete --name
                            [--resource-group]
                            [--scope]

示例

删除资源策略分配。 (自动生成)

az policy assignment delete --name MyPolicyAssignment

必需参数

--name -n

策略分配的名称。

可选参数

--resource-group -g

将应用策略的资源组。

--scope

此策略分配子命令适用的范围。 默认为当前上下文订阅。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az policy assignment list

列出资源策略分配。

az policy assignment list [--disable-scope-strict-match]
                          [--resource-group]
                          [--scope]

可选参数

--disable-scope-strict-match

包括从父范围或子范围继承的策略分配。

--resource-group -g

将应用策略的资源组。

--scope

此策略分配子命令适用的范围。 默认为当前上下文订阅。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az policy assignment show

显示资源策略分配。

az policy assignment show --name
                          [--resource-group]
                          [--scope]

示例

显示资源策略分配。 (自动生成)

az policy assignment show --name MyPolicyAssignment

必需参数

--name -n

策略分配的名称。

可选参数

--resource-group -g

将应用策略的资源组。

--scope

此策略分配子命令适用的范围。 默认为当前上下文订阅。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az policy assignment update

更新资源策略分配。

az policy assignment update [--description]
                            [--display-name]
                            [--enforcement-mode {Default, DoNotEnforce}]
                            [--name]
                            [--not-scopes]
                            [--params]
                            [--resource-group]
                            [--scope]

示例

更新资源策略分配的说明。

az policy assignment update --name myPolicy --description 'My policy description'

可选参数

--description

策略分配的说明。

--display-name

策略分配的显示名称。

--enforcement-mode -e

策略分配的强制模式,例如 Default、DoNotEnforce。 有关详细信息,请访问 https://aka.ms/azure-policyAssignment-enforcement-mode

接受的值: Default, DoNotEnforce
--name -n

策略分配的名称。

--not-scopes

策略分配不适用的空间分隔范围。

--params -p

JSON 格式的字符串或包含策略规则参数值的文件或 URI 的路径。

--resource-group -g

将应用策略的资源组。

--scope

此策略分配子命令适用的范围。 默认为当前上下文订阅。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。