Azure Policy minta: paraméterek
A szabályzatdefiníciók dinamikussá tehetők a paraméterek használatával szükséges szabályzatdefiníciók számának csökkentése érdekében. A paraméter a szabályzat-hozzárendelés során van definiálva. A paraméterek előre definiált tulajdonságokkal rendelkeznek, amelyek leírják a paramétert és a használat módját.
1. minta: Sztringparaméterek
Ez a szabályzatdefiníció két paramétert ( tagName és tagValue) használ annak beállításához, hogy a szabályzat-hozzárendelés mit keres az erőforrásokon. Ez a formátum lehetővé teszi, hogy a szabályzatdefiníció tetszőleges számú címkenévhez és címkeérték-kombinációhoz használható legyen, de csak egyetlen szabályzatdefiníciót tartson fenn.
Megjegyzés
Ha olyan címkemintát keres, amely Az összesmódot használja, és egy erőforráscsoporttal működik, tekintse meg a Minta: Címkék – 1. minta című témakört.
{
"properties": {
"displayName": "Require tag and its value",
"policyType": "BuiltIn",
"mode": "Indexed",
"description": "Enforces a required tag and its value. Does not apply to resource groups.",
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"description": "Name of the tag, such as costCenter"
}
},
"tagValue": {
"type": "String",
"metadata": {
"description": "Value of the tag, such as headquarter"
}
}
},
"policyRule": {
"if": {
"not": {
"field": "[concat('tags[', parameters('tagName'), ']')]",
"equals": "[parameters('tagValue')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
1. minta: Magyarázat
"tagName": {
"type": "String",
"metadata": {
"description": "Name of the tag, such as costCenter"
}
},
A szabályzatdefiníció ezen részében a tagName paraméter sztringként van definiálva, és leírást ad a használatához.
Ezt követően a rendszer a policyRule.if blokkban használja a paramétert a szabályzat dinamikussá viteléhez. Itt a kiértékelt mező definiálására szolgál, amely egy tagName értékkel rendelkező címke.
"if": {
"not": {
"field": "[concat('tags[', parameters('tagName'), ']')]",
"equals": "[parameters('tagValue')]"
}
},
2. minta: Tömbparaméterek
Ez a szabályzatdefiníció egyetlen paramétert ( listOfBandwidthinMbps) használ annak ellenőrzéséhez, hogy az Express Route Circuit-erőforrás konfigurálta-e a sávszélesség-beállítást a jóváhagyott értékek egyikére. Ha nem egyezik, a rendszer megtagadja az erőforrás létrehozását vagy frissítését.
{
"properties": {
"displayName": "Allowed Express Route bandwidth",
"description": "This policy enables you to specify a set of express route bandwidths that your organization can deploy.",
"parameters": {
"listOfBandwidthinMbps": {
"type": "Array",
"metadata": {
"description": "The list of SKUs that can be specified for express route.",
"displayName": "Allowed Bandwidth"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Network/expressRouteCircuits"
},
{
"not": {
"field": "Microsoft.Network/expressRouteCircuits/serviceProvider.bandwidthInMbps",
"in": "[parameters('listOfBandwidthinMbps')]"
}
}
]
},
"then": {
"effect": "Deny"
}
}
}
}
2. minta: Magyarázat
"listOfBandwidthinMbps": {
"type": "Array",
"metadata": {
"description": "The list of SKUs that can be specified for express route.",
"displayName": "Allowed Bandwidth"
}
}
A szabályzatdefiníció ezen részében a listOfBandwidthinMbps paraméter tömbként van definiálva, és leírást ad a használatához. Tömbként több, egyező értékekkel rendelkezik.
A paramétert ezután a policyRule.if blokkban használja a rendszer. Tömbparaméterként egy tömbfeltételt kell használni a(z) in vagy notInparaméterben. Itt a serviceProvider.bandwidthInMbps aliast használja a megadott értékek egyikeként.
"not": {
"field": "Microsoft.Network/expressRouteCircuits/serviceProvider.bandwidthInMbps",
"in": "[parameters('listOfBandwidthinMbps')]"
}
3. minta: Paraméteres hatás
A szabályzatdefiníciók újrafelhasználhatóvá léptetésének egyik gyakori módja, ha magát az effektust paraméterezi. Ez a példa egyetlen paramétert, effektust használ. Az effektus paraméterezése lehetővé teszi, hogy ugyanazt a definíciót különböző hatókörökhöz rendelje különböző effektusokkal.
{
"properties": {
"displayName": "All authorization rules except RootManageSharedAccessKey should be removed from Service Bus namespace",
"policyType": "BuiltIn",
"mode": "All",
"description": "Service Bus clients should not use a namespace level access policy that provides access to all queues and topics in a namespace. To align with the least privilege security model, you should create access policies at the entity level for queues and topics to provide access to only the specific entity",
"metadata": {
"version": "1.0.1",
"category": "Service Bus"
},
"parameters": {
"effect": {
"type": "string",
"defaultValue": "Audit",
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.ServiceBus/namespaces/authorizationRules"
},
{
"field": "name",
"notEquals": "RootManageSharedAccessKey"
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
}
}
3. minta: Magyarázat
"parameters": {
"effect": {
"type": "string",
"defaultValue": "Audit",
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
}
}
},
A szabályzatdefiníció ezen részében az effektusparamétersztringként van definiálva. A szabályzatdefiníció beállítja a hozzárendelés alapértelmezett értékét naplózásra , és a többi beállítást letiltásra és megtagadásra korlátozza.
A paramétert ezután a policyRule., majd a blokk használja az effektushoz.
"then": {
"effect": "[parameters('effect')]"
}
Következő lépések
- Tekintse át az egyéb mintákat és a beépített definíciókat.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.