Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Définition de ressource Bicep
Le type de ressource policyAssignments peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Authorization/policyAssignments, ajoutez le bicep suivant à votre modèle.
resource symbolicname 'Microsoft.Authorization/policyAssignments@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
assignmentType: 'string'
definitionVersion: 'string'
description: 'string'
displayName: 'string'
enforcementMode: 'string'
metadata: any(...)
nonComplianceMessages: [
{
message: 'string'
policyDefinitionReferenceId: 'string'
}
]
notScopes: [
'string'
]
overrides: [
{
kind: 'string'
selectors: [
{
in: [
'string'
]
kind: 'string'
notIn: [
'string'
]
}
]
value: 'string'
}
]
parameters: {
{customized property}: {
value: any(...)
}
}
policyDefinitionId: 'string'
resourceSelectors: [
{
name: 'string'
selectors: [
{
in: [
'string'
]
kind: 'string'
notIn: [
'string'
]
}
]
}
]
}
}
Valeurs de propriété
Microsoft.Authorization/policyAssignments
| Nom | Descriptif | Valeur |
|---|---|---|
| identité | Identité managée associée à l’attribution de stratégie. | Identité |
| emplacement | Emplacement de l’affectation de stratégie. Obligatoire uniquement lors de l’utilisation de l’identité managée. | corde |
| nom | Nom de la ressource | corde Contraintes: Modèle = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (obligatoire) |
| Propriétés | Propriétés de l’attribution de stratégie. | PolicyAssignmentProperties |
| portée | Utilisez-la lors de la création d’une ressource dans une étendue différente de l’étendue de déploiement. | Définissez cette propriété sur le nom symbolique d’une ressource pour appliquer la ressource d’extension . |
Identité
| Nom | Descriptif | Valeur |
|---|---|---|
| type | Type d’identité. Il s’agit du seul champ obligatoire lors de l’ajout d’une identité affectée par le système ou l’utilisateur à une ressource. | « Aucun » 'SystemAssigned' 'UserAssigned' |
| Identités attribuées par l'utilisateur | Identité de l’utilisateur associée à la stratégie. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nom | Descriptif | Valeur |
|---|
Non-conformitéMessage
| Nom | Descriptif | Valeur |
|---|---|---|
| Message | Message décrivant pourquoi une ressource n’est pas conforme à la stratégie. Cela s’affiche dans les messages d’erreur « refuser » et sur les résultats de conformité non conformes de la ressource. | chaîne (obligatoire) |
| policyDefinitionReferenceId | ID de référence de définition de stratégie dans une définition de jeu de stratégies pour laquelle le message est destiné. Cela s’applique uniquement si l’attribution de stratégie affecte une définition d’ensemble de stratégies. S’il n’est pas fourni, le message s’applique à toutes les stratégies affectées par cette affectation de stratégie. | corde |
Outrepasser
| Nom | Descriptif | Valeur |
|---|---|---|
| gentil | Type de remplacement. | 'definitionVersion' 'policyEffect' |
| Sélecteurs | Liste des expressions de sélecteur. | sélecteur[] |
| valeur | Valeur à remplacer la propriété de stratégie. | corde |
ParameterValues
| Nom | Descriptif | Valeur |
|---|
ParameterValuesValue
| Nom | Descriptif | Valeur |
|---|---|---|
| valeur | Valeur du paramètre. | n'importe laquelle |
PolicyAssignmentProperties
| Nom | Descriptif | Valeur |
|---|---|---|
| devoirType | Type d’affectation de stratégie. Les valeurs possibles sont NotSpecified, System, System, SystemHidden et Custom. Immuable. | 'Coutume' 'Non spécifié' « Système » 'SystemHidden' |
| définitionVersion | Version de la définition de stratégie à utiliser. | corde |
| descriptif | Ce message fait partie de la réponse en cas de violation de stratégie. | corde |
| nom d’affichage | Nom complet de l’attribution de stratégie. | corde |
| applicationMode | Mode d’application de l’attribution de stratégie. Les valeurs possibles sont Default, DoNotEnforce et Enroll | Valeur par défaut « Ne pas appliquer » 'Inscrire' |
| métadonnées | Métadonnées d’attribution de stratégie. Les métadonnées sont un objet ouvert et sont généralement une collection de paires clé-valeur. | n'importe laquelle |
| nonComplianceMessages | Messages qui décrivent pourquoi une ressource n’est pas conforme à la stratégie. | NonComplianceMessage[] |
| notScopes | Étendues exclues de la stratégie. | chaîne de caractères[] |
| Substitue | Remplacement de la valeur de propriété de stratégie. | remplacer[] |
| Paramètres | Valeurs des paramètres de la règle de stratégie affectée. Les clés sont les noms de paramètres. | ParameterValues |
| policyDefinitionId | ID de la définition de stratégie ou de la définition de jeu de stratégies attribuée. | corde |
| resourceSelectors | Liste de sélecteurs de ressources pour filtrer les stratégies par propriétés de ressource. | ResourceSelector[] |
Sélecteur de Ressources
| Nom | Descriptif | Valeur |
|---|---|---|
| nom | Nom du sélecteur de ressources. | corde |
| Sélecteurs | Liste des expressions de sélecteur. | sélecteur[] |
Sélecteur
| Nom | Descriptif | Valeur |
|---|---|---|
| dans | Liste des valeurs à filtrer. | chaîne de caractères[] |
| gentil | Type de sélecteur. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'ressourceSansEmplacement' |
| notIn | Liste des valeurs à filtrer. | chaîne de caractères[] |
UserAssignedIdentitiesValue
| Nom | Descriptif | Valeur |
|---|
Exemples d’utilisation
Exemples de démarrage rapide Azure
Les modèles de démarrage rapide Azure suivants contiennent des exemples Bicep pour le déploiement de ce type de ressource.
| Fichier Bicep | Descriptif |
|---|---|
| Attribuer une stratégie intégrée pour auditer les disques managés de machines virtuelles | Ce modèle affecte une stratégie intégrée à une étendue de groupe de ressources pour auditer les disques managés de machine virtuelle. |
| créer un gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels | Ce modèle déploie un Gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels dans le groupe de ressources nommé. Il prend en charge plusieurs topologies de connectivité et types d’appartenance au groupe réseau. |
| déployer une stratégie def et affecter à plusieurs groupes Mgmt | Ce modèle est un modèle de niveau groupe d’administration qui crée une définition de stratégie et affecte cette stratégie à plusieurs groupes d’administration. |
| Déployer une définition de stratégie et affecter à un groupe d’administration | Ce modèle est un modèle de niveau groupe d’administration qui crée une définition de stratégie et affecte cette stratégie au groupe d’administration cible. Actuellement, ce modèle ne peut pas être déployé via le portail Azure. |
Définition de ressource de modèle ARM
Le type de ressource policyAssignments peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Authorization/policyAssignments, ajoutez le code JSON suivant à votre modèle.
{
"type": "Microsoft.Authorization/policyAssignments",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"assignmentType": "string",
"definitionVersion": "string",
"description": "string",
"displayName": "string",
"enforcementMode": "string",
"metadata": {},
"nonComplianceMessages": [
{
"message": "string",
"policyDefinitionReferenceId": "string"
}
],
"notScopes": [ "string" ],
"overrides": [
{
"kind": "string",
"selectors": [
{
"in": [ "string" ],
"kind": "string",
"notIn": [ "string" ]
}
],
"value": "string"
}
],
"parameters": {
"{customized property}": {
"value": {}
}
},
"policyDefinitionId": "string",
"resourceSelectors": [
{
"name": "string",
"selectors": [
{
"in": [ "string" ],
"kind": "string",
"notIn": [ "string" ]
}
]
}
]
}
}
Valeurs de propriété
Microsoft.Authorization/policyAssignments
| Nom | Descriptif | Valeur |
|---|---|---|
| apiVersion | Version de l’API | '2025-03-01' |
| identité | Identité managée associée à l’attribution de stratégie. | Identité |
| emplacement | Emplacement de l’affectation de stratégie. Obligatoire uniquement lors de l’utilisation de l’identité managée. | corde |
| nom | Nom de la ressource | corde Contraintes: Modèle = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (obligatoire) |
| Propriétés | Propriétés de l’attribution de stratégie. | PolicyAssignmentProperties |
| type | Type de ressource | 'Microsoft.Authorization/policyAssignments' |
Identité
| Nom | Descriptif | Valeur |
|---|---|---|
| type | Type d’identité. Il s’agit du seul champ obligatoire lors de l’ajout d’une identité affectée par le système ou l’utilisateur à une ressource. | « Aucun » 'SystemAssigned' 'UserAssigned' |
| Identités attribuées par l'utilisateur | Identité de l’utilisateur associée à la stratégie. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nom | Descriptif | Valeur |
|---|
Non-conformitéMessage
| Nom | Descriptif | Valeur |
|---|---|---|
| Message | Message décrivant pourquoi une ressource n’est pas conforme à la stratégie. Cela s’affiche dans les messages d’erreur « refuser » et sur les résultats de conformité non conformes de la ressource. | chaîne (obligatoire) |
| policyDefinitionReferenceId | ID de référence de définition de stratégie dans une définition de jeu de stratégies pour laquelle le message est destiné. Cela s’applique uniquement si l’attribution de stratégie affecte une définition d’ensemble de stratégies. S’il n’est pas fourni, le message s’applique à toutes les stratégies affectées par cette affectation de stratégie. | corde |
Outrepasser
| Nom | Descriptif | Valeur |
|---|---|---|
| gentil | Type de remplacement. | 'definitionVersion' 'policyEffect' |
| Sélecteurs | Liste des expressions de sélecteur. | sélecteur[] |
| valeur | Valeur à remplacer la propriété de stratégie. | corde |
ParameterValues
| Nom | Descriptif | Valeur |
|---|
ParameterValuesValue
| Nom | Descriptif | Valeur |
|---|---|---|
| valeur | Valeur du paramètre. | n'importe laquelle |
PolicyAssignmentProperties
| Nom | Descriptif | Valeur |
|---|---|---|
| devoirType | Type d’affectation de stratégie. Les valeurs possibles sont NotSpecified, System, System, SystemHidden et Custom. Immuable. | 'Coutume' 'Non spécifié' « Système » 'SystemHidden' |
| définitionVersion | Version de la définition de stratégie à utiliser. | corde |
| descriptif | Ce message fait partie de la réponse en cas de violation de stratégie. | corde |
| nom d’affichage | Nom complet de l’attribution de stratégie. | corde |
| applicationMode | Mode d’application de l’attribution de stratégie. Les valeurs possibles sont Default, DoNotEnforce et Enroll | Valeur par défaut « Ne pas appliquer » 'Inscrire' |
| métadonnées | Métadonnées d’attribution de stratégie. Les métadonnées sont un objet ouvert et sont généralement une collection de paires clé-valeur. | n'importe laquelle |
| nonComplianceMessages | Messages qui décrivent pourquoi une ressource n’est pas conforme à la stratégie. | NonComplianceMessage[] |
| notScopes | Étendues exclues de la stratégie. | chaîne de caractères[] |
| Substitue | Remplacement de la valeur de propriété de stratégie. | remplacer[] |
| Paramètres | Valeurs des paramètres de la règle de stratégie affectée. Les clés sont les noms de paramètres. | ParameterValues |
| policyDefinitionId | ID de la définition de stratégie ou de la définition de jeu de stratégies attribuée. | corde |
| resourceSelectors | Liste de sélecteurs de ressources pour filtrer les stratégies par propriétés de ressource. | ResourceSelector[] |
Sélecteur de Ressources
| Nom | Descriptif | Valeur |
|---|---|---|
| nom | Nom du sélecteur de ressources. | corde |
| Sélecteurs | Liste des expressions de sélecteur. | sélecteur[] |
Sélecteur
| Nom | Descriptif | Valeur |
|---|---|---|
| dans | Liste des valeurs à filtrer. | chaîne de caractères[] |
| gentil | Type de sélecteur. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'ressourceSansEmplacement' |
| notIn | Liste des valeurs à filtrer. | chaîne de caractères[] |
UserAssignedIdentitiesValue
| Nom | Descriptif | Valeur |
|---|
Exemples d’utilisation
Modèles de démarrage rapide Azure
Les modèles de démarrage rapide Azure suivants déployer ce type de ressource.
| Modèle | Descriptif |
|---|---|
Affecter une stratégie intégrée à un groupe de ressources existant
|
Ce modèle affecte une stratégie intégrée à un groupe de ressources existant. |
|
Attribuer une stratégie intégrée pour auditer les disques managés de machines virtuelles
|
Ce modèle affecte une stratégie intégrée à une étendue de groupe de ressources pour auditer les disques managés de machine virtuelle. |
|
créer un gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels
|
Ce modèle déploie un Gestionnaire de réseaux virtuels Azure et des exemples de réseaux virtuels dans le groupe de ressources nommé. Il prend en charge plusieurs topologies de connectivité et types d’appartenance au groupe réseau. |
|
déployer une stratégie def et affecter à plusieurs groupes Mgmt
|
Ce modèle est un modèle de niveau groupe d’administration qui crée une définition de stratégie et affecte cette stratégie à plusieurs groupes d’administration. |
|
Déployer une définition de stratégie et affecter à un groupe d’administration
|
Ce modèle est un modèle de niveau groupe d’administration qui crée une définition de stratégie et affecte cette stratégie au groupe d’administration cible. Actuellement, ce modèle ne peut pas être déployé via le portail Azure. |
Définition de ressource Terraform (fournisseur AzAPI)
Le type de ressource policyAssignments peut être déployé avec des opérations qui ciblent :
Pour obtenir la liste des propriétés modifiées dans chaque version de l’API, consultez journal des modifications.
Format de ressource
Pour créer une ressource Microsoft.Authorization/policyAssignments, ajoutez le terraform suivant à votre modèle.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/policyAssignments@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
body = {
properties = {
assignmentType = "string"
definitionVersion = "string"
description = "string"
displayName = "string"
enforcementMode = "string"
metadata = ?
nonComplianceMessages = [
{
message = "string"
policyDefinitionReferenceId = "string"
}
]
notScopes = [
"string"
]
overrides = [
{
kind = "string"
selectors = [
{
in = [
"string"
]
kind = "string"
notIn = [
"string"
]
}
]
value = "string"
}
]
parameters = {
{customized property} = {
value = ?
}
}
policyDefinitionId = "string"
resourceSelectors = [
{
name = "string"
selectors = [
{
in = [
"string"
]
kind = "string"
notIn = [
"string"
]
}
]
}
]
}
}
}
Valeurs de propriété
Microsoft.Authorization/policyAssignments
| Nom | Descriptif | Valeur |
|---|---|---|
| identité | Identité managée associée à l’attribution de stratégie. | Identité |
| emplacement | Emplacement de l’affectation de stratégie. Obligatoire uniquement lors de l’utilisation de l’identité managée. | corde |
| nom | Nom de la ressource | corde Contraintes: Modèle = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (obligatoire) |
| parent_id | ID de la ressource à laquelle appliquer cette ressource d’extension. | chaîne (obligatoire) |
| Propriétés | Propriétés de l’attribution de stratégie. | PolicyAssignmentProperties |
| type | Type de ressource | « Microsoft.Authorization/policyAssignments@2025-03-01 » |
Identité
| Nom | Descriptif | Valeur |
|---|---|---|
| type | Type d’identité. Il s’agit du seul champ obligatoire lors de l’ajout d’une identité affectée par le système ou l’utilisateur à une ressource. | « Aucun » 'SystemAssigned' 'UserAssigned' |
| Identités attribuées par l'utilisateur | Identité de l’utilisateur associée à la stratégie. Les références de clé de dictionnaire d’identité utilisateur seront des ID de ressource ARM sous la forme : « /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName} ». | IdentityUserAssignedIdentities |
IdentityUserAssignedIdentities
| Nom | Descriptif | Valeur |
|---|
Non-conformitéMessage
| Nom | Descriptif | Valeur |
|---|---|---|
| Message | Message décrivant pourquoi une ressource n’est pas conforme à la stratégie. Cela s’affiche dans les messages d’erreur « refuser » et sur les résultats de conformité non conformes de la ressource. | chaîne (obligatoire) |
| policyDefinitionReferenceId | ID de référence de définition de stratégie dans une définition de jeu de stratégies pour laquelle le message est destiné. Cela s’applique uniquement si l’attribution de stratégie affecte une définition d’ensemble de stratégies. S’il n’est pas fourni, le message s’applique à toutes les stratégies affectées par cette affectation de stratégie. | corde |
Outrepasser
| Nom | Descriptif | Valeur |
|---|---|---|
| gentil | Type de remplacement. | 'definitionVersion' 'policyEffect' |
| Sélecteurs | Liste des expressions de sélecteur. | sélecteur[] |
| valeur | Valeur à remplacer la propriété de stratégie. | corde |
ParameterValues
| Nom | Descriptif | Valeur |
|---|
ParameterValuesValue
| Nom | Descriptif | Valeur |
|---|---|---|
| valeur | Valeur du paramètre. | n'importe laquelle |
PolicyAssignmentProperties
| Nom | Descriptif | Valeur |
|---|---|---|
| devoirType | Type d’affectation de stratégie. Les valeurs possibles sont NotSpecified, System, System, SystemHidden et Custom. Immuable. | 'Coutume' 'Non spécifié' « Système » 'SystemHidden' |
| définitionVersion | Version de la définition de stratégie à utiliser. | corde |
| descriptif | Ce message fait partie de la réponse en cas de violation de stratégie. | corde |
| nom d’affichage | Nom complet de l’attribution de stratégie. | corde |
| applicationMode | Mode d’application de l’attribution de stratégie. Les valeurs possibles sont Default, DoNotEnforce et Enroll | Valeur par défaut « Ne pas appliquer » 'Inscrire' |
| métadonnées | Métadonnées d’attribution de stratégie. Les métadonnées sont un objet ouvert et sont généralement une collection de paires clé-valeur. | n'importe laquelle |
| nonComplianceMessages | Messages qui décrivent pourquoi une ressource n’est pas conforme à la stratégie. | NonComplianceMessage[] |
| notScopes | Étendues exclues de la stratégie. | chaîne de caractères[] |
| Substitue | Remplacement de la valeur de propriété de stratégie. | remplacer[] |
| Paramètres | Valeurs des paramètres de la règle de stratégie affectée. Les clés sont les noms de paramètres. | ParameterValues |
| policyDefinitionId | ID de la définition de stratégie ou de la définition de jeu de stratégies attribuée. | corde |
| resourceSelectors | Liste de sélecteurs de ressources pour filtrer les stratégies par propriétés de ressource. | ResourceSelector[] |
Sélecteur de Ressources
| Nom | Descriptif | Valeur |
|---|---|---|
| nom | Nom du sélecteur de ressources. | corde |
| Sélecteurs | Liste des expressions de sélecteur. | sélecteur[] |
Sélecteur
| Nom | Descriptif | Valeur |
|---|---|---|
| dans | Liste des valeurs à filtrer. | chaîne de caractères[] |
| gentil | Type de sélecteur. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'ressourceSansEmplacement' |
| notIn | Liste des valeurs à filtrer. | chaîne de caractères[] |
UserAssignedIdentitiesValue
| Nom | Descriptif | Valeur |
|---|
Exemples d’utilisation
Échantillons Terraform
Exemple de base de déploiement de l’attribution de stratégie.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "eastus"
}
data "azurerm_client_config" "current" {
}
data "azapi_resource" "subscription" {
type = "Microsoft.Resources/subscriptions@2021-01-01"
resource_id = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
response_export_values = ["*"]
}
resource "azapi_resource" "policyDefinition" {
type = "Microsoft.Authorization/policyDefinitions@2021-06-01"
parent_id = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
name = var.resource_name
body = {
properties = {
description = ""
displayName = "my-policy-definition"
mode = "All"
parameters = {
allowedLocations = {
metadata = {
description = "The list of allowed locations for resources."
displayName = "Allowed locations"
strongType = "location"
}
type = "Array"
}
}
policyRule = {
if = {
not = {
field = "location"
in = "[parameters('allowedLocations')]"
}
}
then = {
effect = "audit"
}
}
policyType = "Custom"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
resource "azapi_resource" "policyAssignment" {
type = "Microsoft.Authorization/policyAssignments@2022-06-01"
parent_id = data.azapi_resource.subscription.id
name = var.resource_name
body = {
properties = {
displayName = ""
enforcementMode = "Default"
parameters = {
listOfAllowedLocations = {
value = [
"West Europe",
"West US 2",
"East US 2",
]
}
}
policyDefinitionId = azapi_resource.policyDefinition.id
scope = data.azapi_resource.subscription.id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}