Azure 原則 定義 deployIfNotExists 效果
與 auditIfNotExists類似,原則 deployIfNotExists 定義會在符合條件時執行範本部署。 效果設定為 DeployIfNotExists 的原則指派需要 受控識別 才能進行補救。
注意
巢狀範本支援 ,但目前不支援連結的範本deployIfNotExists。
DeployIfNotExists 評估
deployIfNotExists 會在資源提供者處理建立或更新訂閱或資源要求並傳回成功狀態代碼時,執行可設定的延遲。 如果沒有相關的資源,或所 existenceCondition 定義的資源未評估為 true,就會發生範本部署。 部署的持續時間取決於範本所含資源的複雜度。
在評估周期期間,具有 DeployIfNotExists 效果的原則定義會標示為不符合規範,但該資源上不會採取任何動作。 現有的不符合規範的資源可以使用補救工作來補救。
DeployIfNotExists 屬性
details DeployIfNotExists 效果的 屬性具有定義要比對的相關資源以及要執行的範本部署的所有子屬性。
type(必要)- 指定要比對之相關資源的型別。
- 如果
type是條件資源下if的資源類型,則原則會在評估的資源範圍內查詢此type資源。 否則,根據 ,在與評估的資源existenceScope相同的資源群組或訂用帳戶內的原則查詢。
name(選擇性)- 指定要比對的資源確切名稱,並讓原則擷取一個特定資源,而不是指定類型的所有資源。
- 當和
then.details.type符合的條件值if.field.type時,會name變成必要,而且必須是[field('name')]、或[field('fullName')]子資源。
注意
type 和 name 區段可以合併為一般擷取巢狀資源。
若要擷取特定資源,您可以使用 "type": "Microsoft.ExampleProvider/exampleParentType/exampleNestedType" 和 "name": "parentResourceName/nestedResourceName"。
若要擷取巢狀資源的集合,可以提供通配符 ? 來取代姓氏區段。 例如,"type": "Microsoft.ExampleProvider/exampleParentType/exampleNestedType" 與 "name": "parentResourceName/?"。 這可以與欄位函式結合,以存取與評估資源相關的資源,例如 "name": "[concat(field('name'), '/?')]"。
resourceGroupName(選用)- 允許比對相關的資源來自不同的資源群組。
- 如果
type是條件資源底下if的資源,則不適用。 - 預設值為
if條件資源的資源群組。 - 如果執行範本部署,則會部署在此值的資源群組中。
existenceScope(選用)- 允許的值為 Subscription 和 ResourceGroup。
- 設定要從何處擷取要比對之相關資源的範圍。
- 如果
type是條件資源底下if的資源,則不適用。 - 針對 ResourceGroup,如果指定,則會限制在 中的
resourceGroupName資源群組。 如果未resourceGroupName指定,則會限制條件if資源的資源群組,也就是預設行為。 - 針對 [ 訂用帳戶],查詢相關資源的整個訂用帳戶。 指派範圍應該在訂用帳戶或更高層級設定,才能進行適當的評估。
- 預設值為 ResourceGroup。
evaluationDelay(選用)- 指定何時應該評估相關資源。 延遲僅適用於建立或更新資源要求結果的評估。
- 允許的值為
AfterProvisioning、AfterProvisioningSuccess、AfterProvisioningFailure或 ISO 8601 持續時間,介於 0 到 360 分鐘之間。 - AfterProvisioning 值會檢查在原則規則
if條件中評估的資源布建結果。AfterProvisioning在布建完成之後執行,不論結果為何。 當判斷 AfterProvisioning 評估延遲時,布建需要超過六個小時,就會被視為失敗。 - 預設值為
PT10M(10 分鐘)。 - 指定長時間的評估延遲可能會導致資源記錄的合規性狀態在下次 評估觸發程式之前不會更新。
existenceCondition(選用)- 如果未指定,則任何相關資源
type都符合效果,且不會觸發部署。 - 使用與條件原則規則
if相同的語言,但會個別針對每個相關資源進行評估。 - 如果任何相符的相關資源評估為 true,就會滿足效果,且不會觸發部署。
- 可以使用 [field()] 來檢查條件中的
if值是否相等。 - 例如,可用來驗證父資源 (條件中
if) 是否與比對相關資源位於相同的資源位置。
- 如果未指定,則任何相關資源
roleDefinitionIds(必要)- 此屬性必須包含符合訂用帳戶可存取之角色型訪問控制角色標識碼的字串數位。 如需詳細資訊,請參閱 補救 - 設定原則定義。
deploymentScope(選用)- 允許的值為 Subscription 和 ResourceGroup。
- 設定要觸發的部署類型。 訂用帳戶表示訂用帳戶層級的部署,ResourceGroup 表示資源群組的部署。
- 使用訂用帳戶層級部署時,必須在部署中指定location屬性。
- 預設值為 ResourceGroup。
deployment(必要)- 此屬性應該包含完整的範本部署,因為它會傳遞至
Microsoft.Resources/deploymentsPUT API。 如需詳細資訊,請參閱 部署 REST API。 - 巢狀
Microsoft.Resources/deployments在範本內應該使用唯一的名稱,以避免在多個原則評估之間發生爭用。 父部署的名稱可以透過 作為巢狀部署名稱[concat('NestedDeploymentName-', uniqueString(deployment().name))]的一部分。
注意
屬性內
deployment的所有函式都會評估為範本的元件,而不是原則。 例外狀況是parameters將值從原則傳遞至範本的屬性。value在範本參數名稱下,本節中的 會用來執行傳遞此值(請參閱 DeployIfNotExists 範例中的 fullDbName)。- 此屬性應該包含完整的範本部署,因為它會傳遞至
DeployIfNotExists 範例
範例:評估 SQL Server 資料庫,以判斷是否 transparentDataEncryption 已啟用。 如果沒有,則會執行要啟用的部署。
"if": {
"field": "type",
"equals": "Microsoft.Sql/servers/databases"
},
"then": {
"effect": "deployIfNotExists",
"details": {
"type": "Microsoft.Sql/servers/databases/transparentDataEncryption",
"name": "current",
"evaluationDelay": "AfterProvisioning",
"roleDefinitionIds": [
"/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
"/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
],
"existenceCondition": {
"field": "Microsoft.Sql/transparentDataEncryption.status",
"equals": "Enabled"
},
"deployment": {
"properties": {
"mode": "incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"fullDbName": {
"type": "string"
}
},
"resources": [
{
"name": "[concat(parameters('fullDbName'), '/current')]",
"type": "Microsoft.Sql/servers/databases/transparentDataEncryption",
"apiVersion": "2014-04-01",
"properties": {
"status": "Enabled"
}
}
]
},
"parameters": {
"fullDbName": {
"value": "[field('fullName')]"
}
}
}
}
}
}
下一步
- 在 Azure 原則範例檢閱範例。
- 檢閱 Azure 原則定義結構。
- 了解如何以程式設計方式建立原則。
- 了解如何取得合規性資料。
- 了解如何補救不符合規範的資源。
- 檢閱 Azure 管理群組。