问题标签 [azure-policy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
394 浏览

azure - Azure(策略/RBAC/MFA) - 如何阻止用户

我确实将用户分配为 Subs 的所有者。我还为一组用户强制执行 MFA,而不是全部来自 AAD

我正在尝试找到一个解决方案(策略?),我可以在其中阻止订阅所有者将用户添加到应用 MFA 解决方案的订阅。只有具有 MFA 的用户才能进行分配。

您知道如何实现这一目标吗?

我正在考虑使用“Microsoft.Security/complianceResults”和“EnableMFAForWritePermissions”和“Microsoft.Security/complianceResults/resourceStatus”的策略,这样我可以防止添加会影响资源合规性但多个测试没有的用户工作呢。

谢谢

0 投票
1 回答
208 浏览

azure-policy - Azure策略如何让字段等于null?

如何在 azure 策略中有一个等于 null 的字段。我试图制定一项拒绝电子邮件地址为空的政策。我希望该字段等于 null 会起作用,但事实并非如此。下面是我尝试过的?
{“字段”:“Microsoft.Sql/servers/vulnerabilityAssessments/default.recurringScans.emails”,“等于”:“”}

谢谢拉斯

{“字段”:“Microsoft.Sql/servers/vulnerabilityAssessments/default.recurringScans.emails”,“等于”:“”}

0 投票
3 回答
1702 浏览

azure - Azure Policy 中的存在条件?

我目前正在尝试了解 Azure 政策。我想我已经了解了别名,但是我无法理解在哪里可以找到 ExistenceCondition 等于字段的正确值

  1. 它与我们应用的 PolicyRule 有何不同?
  2. 我应该保持 ExistanceCondition 与 PolicyRule 几乎相同吗?

我应用的政策规则:

0 投票
1 回答
638 浏览

azure - 未找到资源组 null 下的资源“microsoft.insights/actiongroups/HmActionGroup”

我正在创建一个策略并成功创建它,尽管在 azure 门户中使用修复任务对其进行重新修复时,它失败并提示我出现以下错误

在此处输入图像描述

找不到资源组“”下的资源“microsoft.insights/actiongroups/HmActionGroup”。这是用于策略的 arm 模板中的一种资源格式。就我而言,我已将位置提供为“全球”

在此处输入图像描述

任何帮助将不胜感激

0 投票
1 回答
782 浏览

azure - 允许的资源类型策略

通过 Azure 门户应用允许的资源类型策略时,有一个下拉列表,其中包含数百种可用资源类型,可以选择作为分配参数。有谁知道这个列表是如何生成的,或者我可以在哪里查询内容以便我可以通过编程方式创建新策略?

我创建了一个 powershell 块来查询可用的 azure 资源提供程序及其资源类型,但匹配列表比 azure 门户中显示的列表短数百个资源类型。

我希望能够下载下拉列表的内容,以便查看可用于白名单的所有可用资源类型。

0 投票
1 回答
35 浏览

azure - Azure 策略、集成测试

我是 azure 新手,我有一些 azure 策略来实施对 azure 服务的控制。

我想知道是否存在任何集成测试框架或工具支持来测试 azure 策略?

我可以为 azure 服务创建模拟对象并测试策略是否按预期工作吗?

0 投票
1 回答
196 浏览

azure-virtual-machine - Azure 策略不适用于 Azure 虚拟机

我创建了一个策略定义,以便在 Windows 机器上安装 Microsoft Antimalware 扩展。当我转到 VM > 扩展时,没有扩展:

没有反恶意软件扩展的虚拟机

但是,当我转到 VM > Policies 并选择适当的策略时,我没有看到此 VM?

用于安装 Microsoft 反恶意软件扩展的 Azure Policy

我执行了以下两个命令来创建定义和分配策略。

定义:

任务:

另外,请注意,我在定义策略并将其分配给订阅后手动创建了 VM。

0 投票
1 回答
920 浏览

azure - Azure Policy VM 备份 DeployIfNotExist PolicyEvaluationRetriesExceeded

我正在尝试创建一个 DeployIfNotExist 策略,该策略将自动在备份中注册虚拟机,这些备份将转到名为资源组的位置中的恢复服务保管库。政策代码似乎应该可以工作。这是它的...

我得到的错误如下。

无法评估具有定义“/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyDefinitions/b99xxxxx-e44f-469f-b874-585a7b10eb58/”和分配“/subscriptions/xxxxxxxx-xxxx-xxxx”的策略-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/edxxxxx576044ecdaf510972/'。策略评估超过了最大允许时间。

我目前处于开发过程的第二次迭代。第一个是在资源组和恢复服务保管库已经存在的情况下使该策略起作用,这很好用。我当前的迭代是部署资源组和恢复服务保管库(如果它们不存在),然后将 VM 注册到备份策略中。这需要在嵌套部署中进行一些上下文切换,也许我在某个地方敲了一些东西。

0 投票
2 回答
467 浏览

json - 如何修复 Key Vault 的 deployIfNotExists 策略

尝试创建一个 DeployIfNotExists 策略,该策略将自动在所有密钥保管库上设置“networkACLs”属性,但在与该策略斗争了几周后,我决定尝试操作一个更简单的布尔属性而不是复杂的对象属性。我选择的属性是“enabledForDeployment”。该策略确实可以正确找到不合规的密钥保管库,但部署不起作用。

一旦我让这个“简单”策略生效,我将返回并尝试将“networkACLs”属性设置为以下内容:

政策代码如下...

我目前收到“internalServerError”消息。有任何想法吗?

0 投票
1 回答
41 浏览

azure-policy - 是否可以在 Azure 策略中获取调用者信息

caller评估策略时是否可以从资源的 JSON 写入请求中获取信息?我想将有关谁在资源上提交 Write 语句的信息放入标记中,并且不确定是否可以从 Azure 策略中提取此信息。