问题标签 [azure-policy]

我想定义一个 Azure 策略，其中只能在订阅级别对“美国西部”和美国东部进行部署。

我知道我正在尝试填充一系列位置，但我在某些地方出错了；

我需要编写一个策略来为 DataLake Store 打开防火墙。此策略应使用 JSON 编写，并且需要部署在 Azure 上。

任何可以在 JSON 部分帮助我的人。

我们很难过，因为我们试图通过 Azure Policy 限制特定的“发布者”，但我们只找到了如何限制“类型”。难道没有一个高尚的灵魂，谁知道，如何帮助我们？

我正在尝试在内置的允许位置 Azure 策略中使用。

在我的 ARM 模板定义下方

当我尝试使用 Visual Studio 部署选项进行部署时出现以下错误

如果有人能指导我使用 Visual Studio 部署策略的正确方法，我将不胜感激。一旦在 VS 部署测试中成功，此模板将在稍后进入 DevOps 发布管道。

是否可以使用 Azure 策略值覆盖 Azure 资源值？我正在尝试修复 VM 大小/sku。我创建了以下策略，其append效果是 VM 创建失败，因为它无法覆盖默认/给定的 VM 大小/sku。

我为 Azure Web App、Azure SQL 数据库、Key Vault 和 Azure 存储创建了 ARM 模板。并使用 Azure DevOps 流程 CI 和 CD 将这些 ARM 模板部署到天蓝色。

但我想在开发过程中强制执行政策。我知道微软发布了 Azure Policy 与 Azure DevOps 集成的功能，现在可以使用了。但我不知道如何将策略与 Azure DevOps 集成。

任何人都可以建议我或提供任何有用的文件吗？

由于多个 Azure 策略分配可以使用相同的 Azure 策略定义 ID，我如何避免重复或列出具有相同定义 ID 的重复策略。

我正在创建一个 Azure 策略，在很多帮助下我能够获得以下 json 策略，但它的行为方式与我所期望的不同。

根据我的理解（如果我错了，请纠正我）：Azure Policy 基本上是一个 [if] 和 [then] 语句。在 [if] 之后，所有标签都出现在图片中，说明了这一点。如果条件 [Type : Resource Group] 匹配且 [Tag Name Env != prod ] 和 [Tag Name OS != windows ] [then] 拒绝。

但上述策略的结果是：如果我在单个 ResourceGroup 中指定 [Env = prod 并指定 OS = Linux]，则该策略允许用户创建资源组。这不应该是政策的结果。

预期的结果应该是：

场景 1（策略行为正确）：如果我只指定 [Env = prod] 那么它应该允许我创建 ResourceGroup 或者如果我指定其他任何内容则阻止我

场景 2（策略行为正确）：[OS = Windows] 那么它应该允许我创建 RG，或者如果我指定其他任何内容，则阻止我。

场景 3（策略行为不正确）：[env = prod and OS = linux] 那么它应该阻止我，因为第二个 TAG 不正确。

我目前正在帮助调查在我的组织的公共云中采用 Azure。我被分配的任务之一是锁定帐户以防止用户在订阅中提升他们的权限。

我特别感兴趣的一件事是拒绝创建自定义角色，因为我们不希望人们去开始创建自己的角色，直到安全审查了对角色的需求。

我一直在尝试通过具有以下定义的 Azure 策略来做到这一点

实际上只是复制了内置的“审核自定义角色”策略并将效果从“审核”更改为“拒绝”

但是，我已将此策略应用于包含我正在测试的订阅的管理组，但是当我登录 CLI 并尝试创建新的自定义角色时，它会继续创建角色。

我已确保订阅中存在该策略，并且我已确认我在 CLI 中的订阅正确（使用az account show），但我仍然可以创建自定义角色。

这只是 Azure 不支持的东西，还是我还缺少其他东西？任何帮助或指导将不胜感激，因为 Microsoft 文档和在线提供的众多示例似乎没有任何关于使用策略控制角色的信息。

PS 我知道您可以通过策略在一定程度上控制角色，因为我们有另一个策略可以防止分配特定角色集的发生并且确实有效。

如何为 Azure 网络子网设置标准命名约定...我有策略，但它似乎不起作用

这里有任何提示