很抱歉这个基本主题,但我对 azure 管理组和策略感到很困惑。
我有一个production订阅,我想拒绝所有手动创建资源,只允许将资源创建为代码。
这意味着,如果我尝试从门户创建或更改资源,则会出现错误,但如果我想使用 terraform 或二头肌创建资源,则能够使用终端执行此操作。
所以我做了什么,在我Management Groups的添加了一个子组并分配了订阅。在子组上,我创建了拒绝Microsoft.*以下所有内容的策略:
{
"mode": "All",
"policyRule": {
"if": {
"field": "type",
"like": "Microsoft.*"
},
"then": {
"effect": "deny"
}
}
}
这工作得很好,但是我如何仍然能够使用终端创建具有 terraform 或二头肌的资源?或者也许有人可以建议我如何解决这个问题的更好方法?
非常感谢