Structure d’attribution Azure PolicyAzure Policy assignment structure

Les attributions de stratégies sont utilisées par Azure Policy pour définir quelles stratégies ou initiatives sont attribuées aux ressources.Policy assignments are used by Azure Policy to define which resources are assigned which policies or initiatives. L’attribution de stratégie peut déterminer les valeurs des paramètres de ce groupe de ressources au moment de l’attribution, ce qui permet de réutiliser les définitions de stratégie pour des mêmes propriétés de ressource qui auraient des exigences de conformité différentes.The policy assignment can determine the values of parameters for that group of resources at assignment time, making it possible to reuse policy definitions that address the same resource properties with different needs for compliance.

Vous devez utiliser du code JSON pour créer une attribution de stratégie.You use JSON to create a policy assignment. L’attribution de stratégie contient des éléments pour :The policy assignment contains elements for:

  • le nom d’affichagedisplay name
  • descriptiondescription
  • metadatametadata
  • le mode d’applicationenforcement mode
  • la définition de la stratégiepolicy definition
  • parametersparameters

Par exemple, le code JSON suivant montre une attribution de stratégie en mode DoNotEnforce avec des paramètres dynamiques :For example, the following JSON shows a policy assignment in DoNotEnforce mode with dynamic parameters:

{
    "properties": {
        "displayName": "Enforce resource naming rules",
        "description": "Force resource names to begin with DeptA and end with -LC",
        "metadata": {
            "assignedBy": "Cloud Center of Excellence"
        },
        "enforcementMode": "DoNotEnforce",
        "policyDefinitionId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyDefinitions/ResourceNaming",
        "parameters": {
            "prefix": {
                "value": "DeptA"
            },
            "suffix": {
                "value": "-LC"
            }
        }
    }
}

Tous les exemples Azure Policy se trouvent dans Exemples de stratégies.All Azure Policy samples are at Azure Policy samples.

Nom d’affichage et descriptionDisplay name and description

Vous utilisez displayName et description pour identifier l’attribution de stratégie et fournir un contexte pour son utilisation avec l’ensemble de ressources.You use displayName and description to identify the policy assignment and provide context for its use with the specific set of resources. displayName a une longueur maximale de 128 caractères et description a une longueur maximale de 512 caractères.displayName has a maximum length of 128 characters and description a maximum length of 512 characters.

Mode d’applicationEnforcement Mode

La propriété enforcementMode permet aux clients de tester le résultat d’une stratégie sur des ressources existantes sans lancer l’effet de stratégie ni déclencher des entrées du journal d’activité Azure.The enforcementMode property provides customers the ability to test the outcome of a policy on existing resources without initiating the policy effect or triggering entries in the Azure Activity log. Ce scénario est de type « What If » et suit des pratiques de déploiement sécurisées.This scenario is commonly referred to as "What If" and aligns to safe deployment practices. enforcementMode diffère de l’effet Disabled , car cet effet empêche l’évaluation des ressources de se produire.enforcementMode is different from the Disabled effect, as that effect prevents resource evaluation from happening at all.

Cette propriété a les valeurs suivantes :This property has the following values:

ModeMode Valeur JSONJSON Value TypeType Corriger manuellementRemediate manually Entrée du journal d’activitéActivity log entry DescriptionDescription
activéEnabled DefaultDefault stringstring OuiYes OuiYes L’effet de stratégie est appliqué pendant la création ou la mise à jour d’une ressource.The policy effect is enforced during resource creation or update.
DésactivéDisabled DoNotEnforceDoNotEnforce stringstring OuiYes NonNo L’effet de stratégie n’est pas appliqué pendant la création ou la mise à jour d’une ressource.The policy effect isn't enforced during resource creation or update.

Si enforcementMode n’est pas spécifié dans la définition d’une stratégie ou d’une initiative, la valeur Default est utilisée.If enforcementMode isn't specified in a policy or initiative definition, the value Default is used. Les tâches de correction peuvent être démarrées pour les stratégies deployIfNotExists, même lorsque enforcementMode est défini sur DoNotEnforce.Remediation tasks can be started for deployIfNotExists policies, even when enforcementMode is set to DoNotEnforce.

ID de définition de stratégiePolicy definition ID

Ce champ correspond au nom du chemin complet d’une définition de stratégie ou d’une définition d’initiative.This field must be the full path name of either a policy definition or an initiative definition. policyDefinitionId est une chaîne et non un tableau.policyDefinitionId is a string and not an array. Si plusieurs stratégies sont souvent attribuées ensemble, il est recommandé d’utiliser une initiative.It's recommended that if multiple policies are often assigned together, to use an initiative instead.

ParamètresParameters

Ce segment de l’attribution de stratégie fournit les valeurs des paramètres définis dans la définition de stratégie ou d’initiative.This segment of the policy assignment provides the values for the parameters defined in the policy definition or initiative definition. Grâce à cette conception, il est possible de réutiliser une définition de stratégie ou d’initiative avec différentes ressources. Toutefois, vous devez chercher à connaître les valeurs métiers et les résultats pour chaque option.This design makes it possible to reuse a policy or initiative definition with different resources, but check for different business values or outcomes.

"parameters": {
    "prefix": {
        "value": "DeptA"
    },
    "suffix": {
        "value": "-LC"
    }
}

Dans cet exemple, les paramètres précédemment définis dans la définition de stratégie sont prefix et suffix.In this example, the parameters previously defined in the policy definition are prefix and suffix. Cette attribution de stratégie définit prefix sur DeptA et suffix sur -LC.This particular policy assignment sets prefix to DeptA and suffix to -LC. La même définition de stratégie peut être réutilisée avec un autre ensemble de paramètres dans un autre service, ce qui réduit la duplication et la complexité des définitions de stratégie tout en offrant une certaine flexibilité.The same policy definition is reusable with a different set of parameters for a different department, reducing the duplication and complexity of policy definitions while providing flexibility.

Étapes suivantesNext steps