问题标签 [azure-policy]

我正在尝试开发一个 Azure Policy (json)，以确保对于启用了审核的给定 SQL Server（无需检查），保留天数已设置为大于 X 的值（假设在我的情况下为 90 天） .

我尝试使用deployIfNotExists效果，existenceCondition在场retentionDays（大于 90）。在该deployment部分中，我将字段设置为 365。

我将策略分配给一个资源组，其中我有一个审计和保留天数等于 20 的 SQL Server。

但是，该策略仍显示为“合规”，并且保留天数保持不变。这是代码：

我想知道我是否在正确的地方使用了正确的别名。有什么线索吗？

谢谢！

我有 APIM 设置，我正在向我的 api 添加一个 validate-jwt 策略。我有自己的 openid 连接服务器。但是，当我添加策略时，我收到一个错误，它无法连接到我的 openid 配置端点，因为它无法验证证书。

我的身份服务器托管在我的服务结构集群中，并且位于开发环境中，因此我使用的是自签名证书。

有什么方法可以告诉 APIM 信任证书，以便它可以联系我的服务器？

谢谢你的帮助。

是否可以从 Azure Policy 调用 Azure Function？假设一个函数返回一个基于 ResourceId 的布尔值。该函数查找资源并确定资源是否包含具有特定名称的标签以及该标签是否符合一组值列表。如果标签符合，则资源返回 true，否则返回 false。考虑以下政策并注意 PCODE 部分。

这样的事情可能吗？我找不到任何允许这样做的文档或示例。

我目前正在使用以下存在条件：

我尝试使用扩展名/名称，但收到一个错误，指出它不可用。我的策略检查所有 Windows 虚拟机，但我不确定如何检查扩展名。它在那里，但它报告不合规并且 instanceView.name 没有值。

我想通过转到每个根级别将带有 Newtonsoft.Json.Linq 的 JSON 解析为树格式。

我面临的实际问题是 allOf 中的内容没有被打印，并且它在 JObject 中出现 InvalidCast 异常。我需要帮助打印控制台应用程序中的所有父元素和子元素。

这是JSON：

我的代码：

我已经安装了 JMESPath.Net NuGet 包。演示小提琴在这里。

我想停止创建 Log Analytics 工作区，实现此目的的最佳方法是什么？你可以通过 azure 策略来做到这一点，如果可以的话怎么做？

提前谢谢你，凯利

我正在寻找根据组的名称模式将贡献者/所有者权限委派给资源组生命周期的方法。我很难找到合适的方法。在自定义角色定义中，似乎没有一种简单的方法可以根据名称模式将操作分配给资源类型，而在 azure 策略定义中，我看不到一种查询用户主体以确定进行访问的用户角色的方法行动。

我想创建一个 Azure 订阅，其中无法创建可以直接访问 Internet 的资源，而是需要路由回本地设备。

我创建了以下策略并将其应用于订阅

但是，看起来仍然可以访问互联网。我们是否需要为所有子网创建自定义 UDR 以将所有 0.0.0.0/0 流量路由回本地？

顺便说一句，在 AWS 中创建类似的 SCP 相当简单： https ://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_5

我知道我们可以对订阅级别应用锁，但是应用锁会阻止您撤销 IAM 角色，所以我想知道我们是否可以有一个自定义策略来避免删除？

我希望自动将自定义策略部署到 Azure 中的管理组

例如

我在 Azure 中创建了一个管理组。在它下面有继承的管理组，在那些下面有订阅，请参阅图像。

我有政策和倡议（一组作为倡议组合在一起的政策）。我想将不同的计划分配给管理组 A 和 B。但是，当我独立分配时，我看不到根管理组可以理解我的策略/计划已分配/部署到子管理组的任何选项。

我如何让根管理组了解子管理组被分配到各自的策略？