问题标签 [azure-policy]

以下是我的策略定义并且工作正常（策略负责将标签从资源组分配给资源）：

尽管如此，在策略页面的概述选项卡中，我有信息表明分配的策略定义处于不合规状态：

原因是什么？由于将先前状态与预期状态进行比较而产生的不同值，我知道“问题”的来源是关键字exists，notEquals等等：https ://docs.microsoft.com/en-us/azure/governance/policy/how-to /determine-non-compliance#compliance-reasons

如何忽略这些合规性消息并获得资源合规性，您知道标签已正确分配，那么问题是什么？或者我对天蓝色的政策有错误的理解？

我正在尝试为 Cosmos DB (SQL API) 实施一个 azure 策略，以拒绝用户创建超过 500 个吞吐量。

这里我使用 JSON 作为策略规则，

这不起作用，并且无法找到正在做什么的问题。

能否请你帮忙？

我需要从 Azure cloudshell 访问 Azure DevOps TFSGit 存储库，有没有办法打开与 DevOps 的会话并发出命令来获取存储库文件内容。我正在尝试实施此处描述的 Azure Policy 计划。在示例（链接）中，存储库位于 GitHub 上，它是公共存储库，我想使用 Azure DevOps 和私有存储库来复制它。

谢谢。

I am trying to enforce Azure resource naming pattern for prod/dev/uat environments, the suggested pattern is [service name]-[environment]-[resource short name]. Is there a way to enforce this using Azure policy? It appears that Azure policy (Like/Match functions) does not support regex. Please suggest a workaround solution.

Note: The [service name], [environment], [resource short name] are of variable length.

Thanks.

我正在使用 ARM 模板处理基础架构即代码 (IaC)，并且正在创建策略计划并将其分配给订阅。在下面的代码中，我为倡议分配了两个定义，并且模板正常工作，创建了倡议定义并将其分配给我的订阅。在代码中您看到第一个定义为名为“效果”的参数。这是预定义参数的名称。但是第二个定义有一个参数，也称为“效果”。如何在倡议中定义第二个参数，我可以将其用于第二个定义？

我正在使用 New-AzDeployment 部署模板，我们将使用 AzDo for IaC。

下面是我正在寻找的一个例子。我不能将这两个参数命名为“效果”，因为不能有重复的参数。但我认为我不能将参数命名为“effect1”（如下例所示），因为我收到错误消息：“策略集定义'MyDefinition'正在尝试分配参数'effect1'在策略定义中定义”。

我很难通过 Azure Pipelines 处理这些策略和部署。现在它type已经被定义了。

我使用 Azure 策略部署模板（创建和分配任务都有版本 3）错误消息：

InvalidRequestContent ：请求内容无效，无法反序列化：'在'PolicyParameter'类型的对象上找不到成员'type'。路径“properties.parameters.envValue.type”，第 9 行，位置 15。

教授

我的参数文件有什么问题？

我的分配任务：

我有订阅者的访问权限。但我无法创建 Azure Policy 并将其分配给订阅下的特定资源组。如果我需要创建 Azure 策略并将其应用于订阅或管理组级别，我需要分配什么角色。

我的客户需要将 Windows 事件日志诊断数据和性能日志从 Azure 诊断数据发送到 Azure 事件中心，因为只有 Azure 诊断扩展可以将数据发送到事件中心。我看到有一个可以在 Azure 中创建的策略，即“为 VM 启用 Azure Monitor”，它处于预览状态。相同的链接是 https://docs.microsoft.com/en-us/azure/azure-monitor/insights/vminsights-enable-at-scale-policy?toc=/azure/governance/policy/toc.json&bc =/azure/governance/policy/breadcrumb/toc.json

但我没有看到任何可以安装此诊断扩展程序的策略。那么有什么方法可以在已经存在的虚拟机上安装这个扩展？我知道要在新 VM 中安装扩展，您可以在声明 VM 定义时在 ARM 模板中指定它。但是对于已经运行的虚拟机，缺少此扩展程序的情况如何。期待在这方面的一些帮助。

我们最近创建了一个 Azure 策略，强制在所有资源上显示一组特定的标签。此策略会阻止部署中不包含所需标签的部署。但是，某些可标记资源（例如 Vnet）在部署期间没有添加标记的选项，除非您使用 ARM 模板。看起来 Terraform 还尝试在添加标签之前将 Vnet 作为单独的步骤部署，即使提供了正确的标签，这也会导致 Terraform 部署的 Vnet 失败。使用 Terraform，如果提供了 ARM 模板，它将绕过此问题。

如何在不使用 ARM 模板且无需放弃 azure 策略的情况下获得 Terraform 部署资源（例如 Vnet）？理想情况下，我希望能够从 Azure 策略中排除 Terraform 启动的资源部署，但我找不到将 Terraform 部署与 Azure 策略中的正常 Azure Web Portal 部署区分开来的方法。

其他一些想法：

• 使用 Terraform 在资源组上创建一个临时标签，指定“免除这些资源”。完成 Terraform 脚本后删除此标记。在 Azure 策略中引用此标记，如果该标记存在，则免除部署。这个解决方案还可以，但我更喜欢更优雅的解决方案
• 使用 Terraform 在执行时将资源组添加为策略的豁免，然后在执行后恢复
• 更新策略以在不支持在没有 ARM 模板的初始部署时标记的资源上不需要标记

除了上面提到的选项之外，还有更优雅的解决方案吗？

为应授予 AD 组、MSI 和 SPN 访问权限的密钥保管库创建 Azure 策略。个人用户不得访问。应分配读者角色以保护密钥访问。policyRule 块的内容是什么？