问题标签 [azure-policy]

例如，我有 2 个遵循 Azure 合规性产品的计划。1是ISO，一套政策；一个是PCI，另一个是一套政策。这两项举措都包括许多内置政策。由于应用的策略，某些资源不合规。但是发展还是以某种方式通过了（可能是因为政策中指定的效果类型是Audit或AuditIfNotExists？）

但是，如果由于 ISO 和 PCI 政策有任何资源不合规，我想阻止开发。有什么办法吗？

例如，如果我可以创建一个新策略，其定义是如果资源是non-compliant由于 ISO 或 PCI 计划中应用的策略，那么给出effect type deny。然后，将此策略添加到这两个计划中。
可能吗？

在我致力于实施策略（尤其是应用服务计划和 WebApp）时，我需要快速测试我的策略的新规则。我尝试使用以下 URI 结构使用 REST API POST 命令对我的资源启动按需扫描：

POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/policyStates/latest/triggerEvaluation?api-version=2018-07-01-preview

参看。https://docs.microsoft.com/fr-fr/azure/governance/policy/how-to/get-compliance-data

该调用返回 202 Accepted 状态（=似乎很好:)）：

问题：但是当我在 Azure 门户中检查合规委员会时，没有进行任何扫描。

1. 我想知道按需扫描是否仅适用于某些天蓝色服务（例如示例中的存储帐户，请参阅上面的共享链接），而不适用于其他服务，例如 WebApp、服务计划等）

2. 我还想知道按需扫描是否会同时触发策略评估（即使效果不同：例如拒绝效果 VS deployIfNotExists 效果）？

有没有人遇到过这种按需策略评估扫描的问题？:)

谢谢 ！

我想找到一种在 Microsoft Azure 中具有特定标记和值时自动锁定资源的方法。

例如，如果资源的标签“重要资源”设置为“是”，则应在该资源上创建“CanNotDelete”锁。我已经尝试了一些策略和“DeployIfNotExists”效果，但我没有找到我正在寻找的东西（甚至不确定这种效果是否可以达到我想要的效果）。我真的不知道在哪里可以解决我的问题。

我想我可以用 Powershell 做到这一点，但我希望在创建新资源时它是自动的，而不必启动 Powershell 脚本来锁定资源。

我希望一切都清楚，谢谢。

我正在通过 powershell 部署拒绝策略并收到以下错误

New-AzPolicyDefinition : InvalidPolicyRule : Failed to parse policy rule: 'Could not find member 'properties' on object of type 'PolicyRuleDefinition'. Path 'properties'.'.

我使用的代码是： 1 New-AzPolicyDefinition -name 'externalDeny' -Policy 'C:\tmp\denyoms-temp.json' -Parameter 'C:\tmp\denyoms-param.json' `

策略模板如下。

模板文件 - https://pastebin.com/embed_js/HrjUWrvf 参数 - https://pastebin.com/embed_js/QxEX92jf

我想可能是标签，在此先感谢。

我正在尝试创建一个自定义策略，该策略将根据标签值拒绝。标签是“ external VM”。然后，该策略允许部署一组已批准的扩展。但是，当我尝试使用"tag.external vm"它添加标签时，会出现错误，这与本文末尾的相同（The value of 'field' property 'Tag' of the policy rule must be one of 'Name, Type, Location, Tags, Kind, FullName, Identity.type' or an alias, e.g.）。

参数文件是

有没有办法用其中的空格分配标签名称。还有其他选择是用“”重新标记它external-vm或参数化标记名，例如

但这给了我错误

任何想法？

提前致谢。

我想针对存储帐户日志创建一个 deployIfNotExists 策略（如果不是，则启用它们，如果可能，向它们添加触发器）。如果这是不可能的，我至少希望对他们制定审计政策。但是这个功能目前似乎不存在。这是可能的还是这个过程必须是“手动”的？

我有一个 Azure 策略，它通过 2 个分配验证 2 个资源组的区域。允许的区域是美国中南部和全球。我的问题是每个资源组中都存在我似乎无法摆脱的策略违规。例如，在一个资源组中，违反策略的资源是分配本身，我无法更改其区域（或者我不知道如何更改），并且我无法将其视为排除项中的排他性资源列表。对于第二个资源组，失败的项目是一些 SQL 数据库托管实例漏洞评估和一些安全评估；关于这些的有趣部分，当我尝试查看 Azure 找不到的资源时，只返回“找不到资源”，所以不出所料，我也不能排除这些。所以现在我似乎被一个无法实现 100% 合规性的政策和 2 个作业所困扰，我希望有人能提供解决方法。也许是一种排除资源类型而不是名称的方法，但我对任何想法持开放态度。谢谢。

我想否认是否有人在整个过程中创造了超过 600 ru/s。这是我的政策规则：

但是当我输入超过 600 ru/s 时，拒绝不起作用。

我想创建一个自定义 Azure Policy JSON，它可以读取 Azure 资源并确保它遵循我们的标准化命名约定。例如，我正在尝试为虚拟机、云服务和 Redis 缓存设置它。

}

我不认为 Azure 允许有多个 IF，就像我尝试设置它的方式一样。我想要它做的是：

如果资源是 VM 并且不符合该约定，则进行审核。如果资源是云服务并且不符合该约定，则进行审核。如果资源是 Redis 缓存并且不符合该约定，则进行审计。

更新的 JSON

有一个 ARM 策略用于检查 Azure 中任何 VM 上是否存在特定标签：

问题：

如何创建一个单独的策略，一个用于 Linux，另一个用于 Windows VM？我找不到如何过滤的方法。即对于 Windows，我使用此策略脚本：

但上面同时显示了 Windows 和 Linux，因为它的逻辑类似于“如果 VM 是 windows 并且具有特定标签，则表示兼容；否则如果没有特定标签或 VM 是 Linux，则视为不兼容”。

需求：

1x 策略查看只有多少 Windows VM 符合要求（根据标签）。

1x 策略查看只有多少 Linux VM 符合要求（根据标签）。