Modèle Azure Policy : Effets
Azure Policy a de nombreux effets qui déterminent la façon dont le service réagit aux ressources non conformes. Certains effets sont simples et ne nécessitent aucune propriété supplémentaire dans la définition de stratégie, tandis que d’autres nécessitent plusieurs propriétés.
Exemple 1 : Effet simple
Cette définition de stratégie vérifie si l’étiquette définie dans le paramètre tagName existe sur la ressource évaluée. Si l’étiquette n’existe pas encore, l’effet modify est déclenché afin d’ajouter l’étiquette avec la valeur spécifiée dans le paramètre tagValue.
{
"properties": {
"displayName": "Add a tag to resource groups",
"policyType": "BuiltIn",
"mode": "All",
"description": "Adds the specified tag and value when any resource group missing this tag is created or updated. Existing resource groups can be remediated by triggering a remediation task. If the tag exists with a different value it will not be changed.",
"metadata": {
"version": "1.0.0",
"category": "Tags"
},
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'environment'"
}
},
"tagValue": {
"type": "String",
"metadata": {
"displayName": "Tag Value",
"description": "Value of the tag, such as 'production'"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Resources/subscriptions/resourceGroups"
},
{
"field": "[concat('tags[', parameters('tagName'), ']')]",
"exists": "false"
}
]
},
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
}
}
}
}
Exemple 1 : Explication
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
Un effet modify exige le bloc policyRule.then.details qui définit roleDefinitionIds et operations. Ces paramètres indiquent à Azure Policy quels rôles sont nécessaires pour ajouter l’étiquette et corriger la ressource, et quelle opération modify utiliser. Dans cet exemple, l’opération add et les paramètres servent à définir l’étiquette et sa valeur.
Exemple 2 : Effet complexe
Cette définition de stratégie audite chaque machine virtuelle afin de vérifier si une extension, définie dans les paramètres publisher et type, n’existe pas. Elle utilise auditIfNotExists pour vérifier une ressource associée à la machine virtuelle afin de déterminer s’il existe une instance qui correspond aux paramètres définis. Cet exemple vérifie le type extensions.
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "audit-vm-extension",
"properties": {
"displayName": "Audit if extension does not exist",
"description": "This policy audits if a required extension doesn't exist.",
"parameters": {
"publisher": {
"type": "String",
"metadata": {
"description": "The publisher of the extension",
"displayName": "Extension Publisher"
}
},
"type": {
"type": "String",
"metadata": {
"description": "The type of the extension",
"displayName": "Extension Type"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"field": "Microsoft.Compute/imagePublisher",
"in": [
"MicrosoftWindowsServer"
]
},
{
"field": "Microsoft.Compute/imageOffer",
"in": [
"WindowsServer"
]
}
]
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
}
}
}
}
Exemple 2 : Explication
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
Un effet auditIfNotExists exige le bloc policyRule.then.details pour définir à la fois un type et l’existenceCondition à rechercher. L’existenceCondition utilise des éléments de langage de stratégie, tels que des opérateurs logiques, pour déterminer s’il existe une ressource associée correspondante. Dans cet exemple, les valeurs vérifiées par rapport à chaque alias sont définies dans les paramètres.
Étapes suivantes
- Passez en revue les autres modèles et définitions intégrées.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.