Directiva Microsoft.AuthorizationAssignments
Definición de recursos de Bicep
El tipo de recurso policyAssignments es un recurso de extensión, lo que significa que puede aplicarlo a otro recurso.
Use la scope propiedad de este recurso para establecer el ámbito de este recurso. Consulte Establecimiento del ámbito en los recursos de extensión en Bicep.
Los ámbitos de implementación válidos para el recurso policyAssignments son:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
- Suscripciones: consulte los comandos de implementación de suscripciones.
- Grupos de administración: consulte comandos de implementación de grupos de administración.
Para obtener una lista de las propiedades modificadas en cada versión de api, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Authorization/policyAssignments, agregue el siguiente bicep a la plantilla.
resource symbolicname 'Microsoft.Authorization/policyAssignments@2022-06-01' = {
name: 'string'
location: 'string'
scope: resourceSymbolicName
identity: {
type: 'string'
userAssignedIdentities: {}
}
properties: {
description: 'string'
displayName: 'string'
enforcementMode: 'string'
metadata: any()
nonComplianceMessages: [
{
message: 'string'
policyDefinitionReferenceId: 'string'
}
]
notScopes: [
'string'
]
overrides: [
{
kind: 'policyEffect'
selectors: [
{
in: [
'string'
]
kind: 'string'
notIn: [
'string'
]
}
]
value: 'string'
}
]
parameters: {}
policyDefinitionId: 'string'
resourceSelectors: [
{
name: 'string'
selectors: [
{
in: [
'string'
]
kind: 'string'
notIn: [
'string'
]
}
]
}
]
}
}
Valores de propiedad
policyAssignments
| Nombre | Descripción | Value |
|---|---|---|
| name | El nombre del recurso | string (obligatorio) Límite de caracteres: nombre para mostrar de 1 a 128 1-64 nombre de recurso 1-24 nombre del recurso en el ámbito del grupo de administración Caracteres válidos: El nombre para mostrar puede contener cualquier carácter. El nombre del recurso no puede usar: <>*%&:\?.+/ ni caracteres de control. No puede terminar con un punto ni un espacio. |
| ubicación | Ubicación de la asignación de directiva. Solo es necesario cuando se usa la identidad administrada. | string |
| scope | Use al crear un recurso de extensión en un ámbito diferente al ámbito de implementación. | Recurso de destino Para Bicep, establezca esta propiedad en el nombre simbólico del recurso para aplicar el recurso de extensión. |
| identidad | Identidad administrada asociada a la asignación de directiva. | Identidad |
| properties | Propiedades de la asignación de directiva. | PolicyAssignmentProperties |
Identidad
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de identidad. Este es el único campo necesario al agregar una identidad asignada por el sistema o el usuario a un recurso. | 'Ninguno' 'SystemAssigned' "UserAssigned" |
| userAssignedIdentities | Identidad de usuario asociada a la directiva. Las referencias de clave de diccionario de identidades de usuario serán identificadores de recurso de ARM con el formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | object |
PolicyAssignmentProperties
| Nombre | Descripción | Valor |
|---|---|---|
| description | Este mensaje formará parte de la respuesta en caso de infracción de directiva. | string |
| DisplayName | Nombre para mostrar de la asignación de directiva. | string |
| enforcementMode | Modo de aplicación de asignación de directivas. Los valores posibles son Default y DoNotEnforce. | 'Default' 'DoNotEnforce' |
| metadata | Metadatos de asignación de directiva. Los metadatos son un objeto abierto y normalmente es una colección de pares clave-valor. | Para Bicep, puede usar la función any(). |
| nonComplianceMessages | Los mensajes que describen por qué un recurso no es compatible con la directiva. | NonComplianceMessage[] |
| notScopes | Ámbitos excluidos de la directiva. | string[] |
| invalidaciones | Invalidación del valor de la propiedad de directiva. | Override[] |
| parámetros | Los valores de parámetro de la regla de directiva asignada. Las claves son los nombres de parámetro. | object |
| policyDefinitionId | Identificador de la definición de directiva o definición del conjunto de directivas que se asigna. | string |
| resourceSelectors | Lista del selector de recursos para filtrar las directivas por propiedades de recursos. | ResourceSelector[] |
NonComplianceMessage
| Nombre | Descripción | Valor |
|---|---|---|
| message | Mensaje que describe por qué un recurso no es compatible con la directiva. Esto se muestra en los mensajes de error "deny" y en los resultados de cumplimiento no compatibles del recurso. | string (obligatorio) |
| policyDefinitionReferenceId | El identificador de referencia de definición de directiva dentro de una definición de conjunto de directivas para el que está pensado el mensaje. Esto solo es aplicable si la asignación de directiva asigna una definición de conjunto de directivas. Si no se proporciona, el mensaje se aplica a todas las directivas asignadas por esta asignación de directiva. | string |
Invalidar
| Nombre | Descripción | Valor |
|---|---|---|
| kind | Tipo de invalidación. | 'policyEffect' |
| selectores | Lista de las expresiones del selector. | Selector[] |
| value | Valor que se va a invalidar la propiedad de directiva. | string |
Selector
| Nombre | Descripción | Valor |
|---|---|---|
| in | Lista de valores en los que se va a filtrar. | string[] |
| kind | Tipo de selector. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'resourceWithoutLocation' |
| notIn | Lista de valores que se van a filtrar. | string[] |
ResourceSelector
| Nombre | Descripción | Value |
|---|---|---|
| name | Nombre del selector de recursos. | string |
| selectores | Lista de las expresiones del selector. | Selector[] |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
Implementación de una definición de directiva y asignación a un grupo de administración |
Esta plantilla es una plantilla de nivel de grupo de administración que creará una definición de directiva y asignará esa directiva al grupo de administración de destino. Actualmente, esta plantilla no se puede implementar a través de Azure Portal. |
| Implementación de una directiva def y asignación a varios grupos mgmt |
Esta plantilla es una plantilla de nivel de grupo de administración que creará una definición de directiva y asignará esa directiva a varios grupos de administración. |
| Asignación de una directiva integrada a un grupo de recursos existente |
Esta plantilla asigna una directiva integrada a un grupo de recursos existente. |
| Creación de una instancia de Azure Virtual Network Manager y redes virtuales de ejemplo |
Esta plantilla implementa una instancia de Azure Virtual Network Manager y redes virtuales de ejemplo en el grupo de recursos con nombre. Admite varias topologías de conectividad y tipos de pertenencia a grupos de red. |
Definición de recursos de plantilla de ARM
El tipo de recurso policyAssignments es un recurso de extensión, lo que significa que puede aplicarlo a otro recurso.
Use la scope propiedad de este recurso para establecer el ámbito de este recurso. Consulte Establecimiento del ámbito en los recursos de extensión en plantillas de ARM.
Los ámbitos de implementación válidos para el recurso policyAssignments son:
- Grupos de recursos: consulte los comandos de implementación del grupo de recursos.
- Suscripciones: consulte los comandos de implementación de suscripciones.
- Grupos de administración: consulte comandos de implementación de grupos de administración.
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Authorization/policyAssignments, agregue el siguiente json a la plantilla.
{
"type": "Microsoft.Authorization/policyAssignments",
"apiVersion": "2022-06-01",
"name": "string",
"location": "string",
"scope": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {}
},
"properties": {
"description": "string",
"displayName": "string",
"enforcementMode": "string",
"metadata": {},
"nonComplianceMessages": [
{
"message": "string",
"policyDefinitionReferenceId": "string"
}
],
"notScopes": [ "string" ],
"overrides": [
{
"kind": "policyEffect",
"selectors": [
{
"in": [ "string" ],
"kind": "string",
"notIn": [ "string" ]
}
],
"value": "string"
}
],
"parameters": {},
"policyDefinitionId": "string",
"resourceSelectors": [
{
"name": "string",
"selectors": [
{
"in": [ "string" ],
"kind": "string",
"notIn": [ "string" ]
}
]
}
]
}
}
Valores de propiedad
policyAssignments
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de recurso | 'Microsoft.Authorization/policyAssignments' |
| apiVersion | La versión de la API de recursos | '2022-06-01' |
| name | El nombre del recurso | string (obligatorio) Límite de caracteres: nombre para mostrar de 1 a 128 1-64 nombre de recurso 1-24 nombre del recurso en el ámbito del grupo de administración Caracteres válidos: El nombre para mostrar puede contener cualquier carácter. El nombre del recurso no puede usar: <>*%&:\?.+/ ni caracteres de control. No puede terminar con un punto ni un espacio. |
| ubicación | Ubicación de la asignación de directiva. Solo se requiere al usar la identidad administrada. | string |
| scope | Use al crear un recurso de extensión en un ámbito diferente del ámbito de implementación. | Recurso de destino En JSON, establezca el valor en el nombre completo del recurso al que se va a aplicar el recurso de extensión . |
| identidad | Identidad administrada asociada a la asignación de directiva. | Identidad |
| properties | Propiedades de la asignación de directivas. | PolicyAssignmentProperties |
Identidad
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de identidad. Este es el único campo necesario al agregar una identidad asignada por el sistema o el usuario a un recurso. | 'Ninguno' 'SystemAssigned' 'UserAssigned' |
| userAssignedIdentities | Identidad de usuario asociada a la directiva. Las referencias de clave de diccionario de identidad de usuario serán identificadores de recursos de ARM con el formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | object |
PolicyAssignmentProperties
| Nombre | Descripción | Valor |
|---|---|---|
| description | Este mensaje formará parte de la respuesta en caso de infracción de directiva. | string |
| DisplayName | Nombre para mostrar de la asignación de directiva. | string |
| enforcementMode | Modo de cumplimiento de la asignación de directivas. Los valores posibles son Default y DoNotEnforce. | 'Default' 'DoNotEnforce' |
| metadata | Metadatos de asignación de directiva. Los metadatos son un objeto abierto y normalmente es una colección de pares clave-valor. | |
| nonComplianceMessages | Los mensajes que describen por qué un recurso no es compatible con la directiva. | NonComplianceMessage[] |
| notScopes | Ámbitos excluidos de la directiva. | string[] |
| invalidaciones | Invalidación del valor de la propiedad de directiva. | Invalidar[] |
| parámetros | Valores de parámetro para la regla de directiva asignada. Las claves son los nombres de parámetro. | object |
| policyDefinitionId | Identificador de la definición de directiva o definición del conjunto de directivas que se va a asignar. | string |
| resourceSelectors | Lista del selector de recursos para filtrar las directivas por propiedades de recursos. | ResourceSelector[] |
NonComplianceMessage
| Nombre | Descripción | Valor |
|---|---|---|
| message | Mensaje que describe por qué un recurso no es compatible con la directiva. Esto se muestra en los mensajes de error "deny" y en los resultados de cumplimiento no compatibles del recurso. | string (obligatorio) |
| policyDefinitionReferenceId | El identificador de referencia de definición de directiva dentro de una definición de conjunto de directivas para el que está pensado el mensaje. Esto solo es aplicable si la asignación de directiva asigna una definición de conjunto de directivas. Si no se proporciona, el mensaje se aplica a todas las directivas asignadas por esta asignación de directiva. | string |
Invalidar
| Nombre | Descripción | Valor |
|---|---|---|
| kind | Tipo de invalidación. | 'policyEffect' |
| selectores | Lista de las expresiones del selector. | Selector[] |
| value | Valor que se va a invalidar la propiedad de directiva. | string |
Selector
| Nombre | Descripción | Valor |
|---|---|---|
| in | Lista de valores en los que se va a filtrar. | string[] |
| kind | Tipo de selector. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'resourceWithoutLocation' |
| notIn | Lista de valores que se van a filtrar. | string[] |
ResourceSelector
| Nombre | Descripción | Value |
|---|---|---|
| name | Nombre del selector de recursos. | string |
| selectores | Lista de las expresiones del selector. | Selector[] |
Plantillas de inicio rápido
Las siguientes plantillas de inicio rápido implementan este tipo de recurso.
| Plantilla | Descripción |
|---|---|
| Implementación de una definición de directiva y asignación a un grupo de administración |
Esta plantilla es una plantilla de nivel de grupo de administración que creará una definición de directiva y asignará esa directiva al grupo de administración de destino. Actualmente, esta plantilla no se puede implementar a través de Azure Portal. |
| Implementación de una directiva def y asignación a varios grupos mgmt |
Esta plantilla es una plantilla de nivel de grupo de administración que creará una definición de directiva y asignará esa directiva a varios grupos de administración. |
| Asignación de una directiva integrada a un grupo de recursos existente |
Esta plantilla asigna una directiva integrada a un grupo de recursos existente. |
| Creación de una instancia de Azure Virtual Network Manager y redes virtuales de ejemplo |
Esta plantilla implementa una instancia de Azure Virtual Network Manager y redes virtuales de ejemplo en el grupo de recursos con nombre. Admite varias topologías de conectividad y tipos de pertenencia a grupos de red. |
Definición de recursos de Terraform (proveedor AzAPI)
El tipo de recurso policyAssignments es un recurso de extensión, lo que significa que puede aplicarlo a otro recurso.
Use la parent_id propiedad de este recurso para establecer el ámbito de este recurso.
Los ámbitos de implementación válidos para el recurso policyAssignments son:
- Grupos de recursos
- Suscripciones
- Grupos de administración
Para obtener una lista de las propiedades modificadas en cada versión de API, consulte registro de cambios.
Formato de los recursos
Para crear un recurso Microsoft.Authorization/policyAssignments, agregue el siguiente terraform a la plantilla.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/policyAssignments@2022-06-01"
name = "string"
location = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = []
}
body = jsonencode({
properties = {
description = "string"
displayName = "string"
enforcementMode = "string"
nonComplianceMessages = [
{
message = "string"
policyDefinitionReferenceId = "string"
}
]
notScopes = [
"string"
]
overrides = [
{
kind = "policyEffect"
selectors = [
{
in = [
"string"
]
kind = "string"
notIn = [
"string"
]
}
]
value = "string"
}
]
parameters = {}
policyDefinitionId = "string"
resourceSelectors = [
{
name = "string"
selectors = [
{
in = [
"string"
]
kind = "string"
notIn = [
"string"
]
}
]
}
]
}
})
}
Valores de propiedad
policyAssignments
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de recurso | "Microsoft.Authorization/policyAssignments@2022-06-01" |
| name | El nombre del recurso | string (obligatorio) Límite de caracteres: nombre para mostrar de 1 a 128 1-64 nombre de recurso 1-24 nombre del recurso en el ámbito del grupo de administración Caracteres válidos: El nombre para mostrar puede contener cualquier carácter. El nombre del recurso no puede usar: <>*%&:\?.+/ ni caracteres de control. No puede terminar con un punto ni un espacio. |
| ubicación | Ubicación de la asignación de directiva. Solo se requiere al usar la identidad administrada. | string |
| parent_id | Identificador del recurso al que se va a aplicar este recurso de extensión. | string (obligatorio) |
| identidad | Identidad administrada asociada a la asignación de directiva. | Identidad |
| properties | Propiedades de la asignación de directivas. | PolicyAssignmentProperties |
Identidad
| Nombre | Descripción | Value |
|---|---|---|
| type | Tipo de identidad. Este es el único campo necesario al agregar una identidad asignada por el sistema o el usuario a un recurso. | "SystemAssigned" "UserAssigned" |
| identity_ids | Identidad de usuario asociada a la directiva. Las referencias de clave de diccionario de identidad de usuario serán identificadores de recursos de ARM con el formato : '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'. | Matriz de identificadores de identidad de usuario. |
PolicyAssignmentProperties
| Nombre | Descripción | Valor |
|---|---|---|
| description | Este mensaje formará parte de la respuesta en caso de infracción de directiva. | string |
| DisplayName | Nombre para mostrar de la asignación de directiva. | string |
| enforcementMode | Modo de cumplimiento de la asignación de directivas. Los valores posibles son Default y DoNotEnforce. | "Valor predeterminado" "DoNotEnforce" |
| metadata | Metadatos de asignación de directiva. Los metadatos son un objeto abierto y normalmente es una colección de pares clave-valor. | |
| nonComplianceMessages | Los mensajes que describen por qué un recurso no es compatible con la directiva. | NonComplianceMessage[] |
| notScopes | Ámbitos excluidos de la directiva. | string[] |
| invalidaciones | Invalidación del valor de la propiedad de directiva. | Invalidar[] |
| parámetros | Valores de parámetro para la regla de directiva asignada. Las claves son los nombres de parámetro. | object |
| policyDefinitionId | Identificador de la definición de directiva o definición del conjunto de directivas que se va a asignar. | string |
| resourceSelectors | Lista del selector de recursos para filtrar las directivas por propiedades de recursos. | ResourceSelector[] |
NonComplianceMessage
| Nombre | Descripción | Valor |
|---|---|---|
| message | Mensaje que describe por qué un recurso no es compatible con la directiva. Esto se muestra en los mensajes de error "deny" y en los resultados de cumplimiento no compatibles del recurso. | string (obligatorio) |
| policyDefinitionReferenceId | El identificador de referencia de definición de directiva dentro de una definición de conjunto de directivas para el que está pensado el mensaje. Esto solo es aplicable si la asignación de directiva asigna una definición de conjunto de directivas. Si no se proporciona, el mensaje se aplica a todas las directivas asignadas por esta asignación de directiva. | string |
Invalidar
| Nombre | Descripción | Valor |
|---|---|---|
| kind | Tipo de invalidación. | "policyEffect" |
| selectores | Lista de las expresiones del selector. | Selector[] |
| value | Valor que se va a invalidar la propiedad de directiva. | string |
Selector
| Nombre | Descripción | Valor |
|---|---|---|
| in | Lista de valores en los que se va a filtrar. | string[] |
| kind | Tipo de selector. | "policyDefinitionReferenceId" "resourceLocation" "resourceType" "resourceWithoutLocation" |
| notIn | Lista de valores que se van a filtrar. | string[] |
ResourceSelector
| Nombre | Descripción | Value |
|---|---|---|
| name | Nombre del selector de recursos. | string |
| selectores | Lista de las expresiones del selector. | Selector[] |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de