Estructura de asignaciones de Azure PolicyAzure Policy assignment structure

Azure Policy usa las asignaciones de directivas para definir qué recursos se asignan a qué directivas o iniciativas.Policy assignments are used by Azure Policy to define which resources are assigned which policies or initiatives. La asignación de directivas puede determinar los valores de los parámetros para ese grupo de recursos en el momento de la asignación, lo que permite volver a usar las definiciones de directiva que se ocupan de las mismas propiedades de recursos con diferentes necesidades de cumplimiento.The policy assignment can determine the values of parameters for that group of resources at assignment time, making it possible to reuse policy definitions that address the same resource properties with different needs for compliance.

Utilice JSON para crear una definición de directiva.You use JSON to create a policy assignment. La asignación de directivas contiene elementos para:The policy assignment contains elements for:

  • nombre para mostrardisplay name
  • descriptiondescription
  • metadatametadata
  • modo de cumplimientoenforcement mode
  • definición de directivapolicy definition
  • parámetrosparameters

Por ejemplo, el siguiente archivo JSON muestra una asignación de directiva en el modo DoNotEnforce con parámetros dinámicos:For example, the following JSON shows a policy assignment in DoNotEnforce mode with dynamic parameters:

{
    "properties": {
        "displayName": "Enforce resource naming rules",
        "description": "Force resource names to begin with DeptA and end with -LC",
        "metadata": {
            "assignedBy": "Cloud Center of Excellence"
        },
        "enforcementMode": "DoNotEnforce",
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
        "parameters": {
            "prefix": {
                "value": "DeptA"
            },
            "suffix": {
                "value": "-LC"
            }
        }
    }
}

Todos los ejemplos de Azure Policy se encuentran en Ejemplos de Azure Policy.All Azure Policy samples are at Azure Policy samples.

Nombre para mostrar y descripciónDisplay name and description

Use displayName y description para identificar la asignación de directiva y proporcionar el contexto para su uso con el conjunto específico de recursos.You use displayName and description to identify the policy assignment and provide context for its use with the specific set of resources. displayName tiene una longitud máxima de 128 caracteres y description tiene una longitud máxima de 512 caracteres.displayName has a maximum length of 128 characters and description a maximum length of 512 characters.

Modo de cumplimientoEnforcement Mode

La propiedad enforcementMode proporciona a los clientes la capacidad de probar el resultado de una directiva en los recursos existentes sin necesidad de iniciar el efecto de la directiva ni de desencadenar entradas en el registro de actividad de Azure.The enforcementMode property provides customers the ability to test the outcome of a policy on existing resources without initiating the policy effect or triggering entries in the Azure Activity log. Este escenario se conoce comúnmente como "What If" y se alinea con las prácticas de implementación segura.This scenario is commonly referred to as "What If" and aligns to safe deployment practices. enforcementMode es diferente del efecto Deshabilitado, ya que ese efecto evita que se produzca la evaluación de recursos.enforcementMode is different from the Disabled effect, as that effect prevents resource evaluation from happening at all.

Esta propiedad tiene los siguientes valores:This property has the following values:

ModeMode Valor JSONJSON Value TipoType Corregir manualmenteRemediate manually Entrada de registro de actividadActivity log entry DescripciónDescription
habilitadoEnabled Valor predeterminadoDefault stringstring Yes Yes El efecto de la directiva se aplica durante la creación o actualización de recursos.The policy effect is enforced during resource creation or update.
DisabledDisabled DoNotEnforceDoNotEnforce stringstring Yes NoNo El efecto de la directiva no se aplica durante la creación o actualización de recursos.The policy effect isn't enforced during resource creation or update.

Si enforcementMode no se especifica en una definición de directiva o iniciativa, se usa el valor Default.If enforcementMode isn't specified in a policy or initiative definition, the value Default is used. Las tareas de corrección se pueden iniciar para las directivas deployIfNotExists, incluso cuando enforcementMode está establecido en DoNotEnforce.Remediation tasks can be started for deployIfNotExists policies, even when enforcementMode is set to DoNotEnforce.

Identificador de la definición de directivaPolicy definition ID

Este campo debe ser el nombre de la ruta de acceso completa de una definición de directiva o una definición de iniciativa.This field must be the full path name of either a policy definition or an initiative definition. policyDefinitionId es una cadena y no una matriz.policyDefinitionId is a string and not an array. Se recomienda que, si a menudo se asignan varias directivas, se use una iniciativa en su lugar.It's recommended that if multiple policies are often assigned together, to use an initiative instead.

ParámetrosParameters

Este segmento de la asignación de directiva proporciona los valores para los parámetros definidos en la definición de directiva o en la definición de iniciativa.This segment of the policy assignment provides the values for the parameters defined in the policy definition or initiative definition. Este diseño permite reutilizar una definición de directiva o iniciativa con distintos recursos, así como comprobar si hay valores o resultados empresariales diferentes.This design makes it possible to reuse a policy or initiative definition with different resources, but check for different business values or outcomes.

"parameters": {
    "prefix": {
        "value": "DeptA"
    },
    "suffix": {
        "value": "-LC"
    }
}

En este ejemplo, los parámetros definidos anteriormente en la definición de directiva son prefix y suffix.In this example, the parameters previously defined in the policy definition are prefix and suffix. Esta asignación de directiva determinada establece prefix en DeptA y suffix en -LC.This particular policy assignment sets prefix to DeptA and suffix to -LC. La misma definición de directiva se puede volver a usar con un conjunto diferente de parámetros para otro departamento, lo que reduce la duplicación y la complejidad de las definiciones de directiva, a la vez que proporciona flexibilidad.The same policy definition is reusable with a different set of parameters for a different department, reducing the duplication and complexity of policy definitions while providing flexibility.

Pasos siguientesNext steps