0

我正在创建一个 Azure 策略,在很多帮助下我能够获得以下 json 策略,但它的行为方式与我所期望的不同。

根据我的理解(如果我错了,请纠正我):Azure Policy 基本上是一个 [if] 和 [then] 语句。在 [if] 之后,所有标签都出现在图片中,说明了这一点。如果条件 [Type : Resource Group] 匹配且 [Tag Name Env != prod ] 和 [Tag Name OS != windows ] [then] 拒绝。

但上述策略的结果是:如果我在单个 ResourceGroup 中指定 [Env = prod 并指定 OS = Linux],则该策略允许用户创建资源组。这不应该是政策的结果。

预期的结果应该是:

场景 1(策略行为正确):如果我只指定 [Env = prod] 那么它应该允许我创建 ResourceGroup 或者如果我指定其他任何内容则阻止我

场景 2(策略行为正确):[OS = Windows] 那么它应该允许我创建 RG,或者如果我指定其他任何内容,则阻止我。

场景 3(策略行为不正确):[env = prod and OS = linux] 那么它应该阻止我,因为第二个 TAG 不正确。

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Resources/subscriptions/resourceGroups"
      },
      {
        "field": "tags.Env",
        "notEquals": "Prod"
      },
      {
        "field": "tags.OS",
        "notEquals": "windows"
      }
    ]
  },
  "then": { "effect": "deny" }
}
4

1 回答 1

1

您提供的策略定义按预期工作。只有在tags.Env != "Prod" && tags.OS != "Windows". 如果你翻转这个条件,你可以看到它将允许任何资源组 where tags.Env == "Prod" || tags.OS == "Windows",这就是你所经历的。

以下策略定义将拒绝任何没有预期标签的资源组:

{
    "if": {
        "allOf": [
            {
                "field": "type",
                "equals": "Microsoft.Resources/subscriptions/resourceGroups"
            },
            {
                "anyOf": [
                    {
                        "field": "tags.Env",
                        "notEquals": "Prod"
                    },
                    {
                        "field": "tags.OS",
                        "notEquals": "windows"
                    }
                ]
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
}
于 2019-01-17T00:18:05.473 回答