Efek modifikasi definisi Azure Policy
Efek ini modify
digunakan untuk menambahkan, memperbarui, atau menghapus properti atau tag pada langganan atau sumber daya selama pembuatan atau pembaruan. Contoh umumnya adalah memperbarui tag pada sumber daya seperti costCenter. Sumber daya yang tidak sesuai dapat diremediasi dengan tugas remediasi. Satu aturan Mengubah dapat memiliki sejumlah operasi. Penetapan kebijakan dengan efek yang ditetapkan sebagai Modifikasi memerlukan identitas terkelola untuk melakukan remediasi.
Efek mendukung modify
operasi berikut:
- Menambahkan, mengganti, atau menghapus tag sumber daya. Hanya tag yang dapat dihapus. Untuk tag, kebijakan Modifikasi harus memiliki mode yang diatur ke
indexed
kecuali sumber daya target adalah grup sumber daya. - Menambahkan atau mengganti nilai jenis identitas terkelola (
identity.type
) komputer virtual dan Virtual Machine Scale Sets. Anda hanya dapat memodifikasiidentity.type
untuk komputer virtual atau Virtual Machine Scale Sets. - Menambahkan atau mengganti nilai alias tertentu.
- Gunakan
Get-AzPolicyAlias | Select-Object -ExpandProperty 'Aliases' | Where-Object { $_.DefaultMetadata.Attributes -eq 'Modifiable' }
di Azure PowerShell 4.6.0 atau yang lebih tinggi untuk mendapatkan daftar alias yang dapat digunakan denganmodify
.
- Gunakan
Penting
Jika Anda mengelola tag, sebaiknya gunakan Ubah alih-alih Tambahkan karena Modifikasi menyediakan lebih banyak jenis operasi dan kemampuan untuk memulihkan sumber daya yang ada. Namun, Tambah disarankan jika Anda tidak dapat membuat identitas terkelola atau Mengubahi belum mendukung alias untuk properti sumber daya.
Evaluasi mengubah
Mengubah mengevaluasi sebelum permintaan diproses oleh Resource Provider selama pembuatan atau pembaruan sumber daya. modify
Operasi diterapkan ke konten permintaan saat if
kondisi aturan kebijakan terpenuhi. Setiap modify
operasi dapat menentukan kondisi yang menentukan kapan diterapkan.
Ketika alias ditentukan, lebih banyak pemeriksaan dilakukan untuk memastikan bahwa modify
operasi tidak mengubah konten permintaan dengan cara yang menyebabkan penyedia sumber daya menolaknya:
- Properti tempat peta alias ditandai sebagai Dapat Dimodifikasi dalam versi API permintaan.
- Jenis token dalam
modify
operasi cocok dengan jenis token yang diharapkan untuk properti dalam versi API permintaan.
Jika salah satu pemeriksaan ini gagal, evaluasi kebijakan kembali ke yang ditentukan conflictEffect
.
Penting
Disarankan agar definisi Mengubah yang menyertakan alias menggunakan efek konflikaudit guna menghindari permintaan yang gagal menggunakan versi API di mana properti yang dipetakan tidak 'Dapat Diubah’. Jika alias yang sama berperilaku berbeda antara versi API, operasi modifikasi bersyarat dapat digunakan untuk menentukan operasi yang modify
digunakan untuk setiap versi API.
Ada beberapa kasus ketika operasi modifikasi dilewati selama evaluasi:
- Ketika kondisi operasi dalam
operations
array dievaluasi ke false, operasi tertentu tersebut dilewati. - Jika alias yang ditentukan untuk operasi tidak dapat dimodifikasi dalam versi API permintaan, maka evaluasi menggunakan efek konflik. Jika efek konflik diatur ke tolak, permintaan akan diblokir. Jika efek konflik diatur ke audit, permintaan diizinkan melalui tetapi operasi modifikasi dilewati.
- Dalam beberapa kasus, properti yang dapat dimodifikasi disarangkan dalam properti lain dan memiliki alias seperti
Microsoft.Storage/storageAccounts/blobServices/deleteRetentionPolicy.enabled
. Jika properti "induk", dalam haldeleteRetentionPolicy
ini , tidak ada dalam permintaan, modifikasi dilewati karena properti tersebut diasumsikan dihilangkan dengan sengaja. - Ketika operasi modifikasi mencoba menambahkan atau mengganti
identity.type
bidang pada sumber daya selain Virtual Machine atau Virtual Machine Scale Set, evaluasi kebijakan dilewati sama sekali sehingga modifikasi tidak dilakukan. Dalam hal ini, sumber daya dianggap tidak berlaku untuk kebijakan.
Ketika definisi kebijakan yang menggunakan modify
efek dijalankan sebagai bagian dari siklus evaluasi, itu tidak membuat perubahan pada sumber daya yang sudah ada. Sebaliknya, ini menandai sumber daya apa pun yang memenuhi if
kondisi sebagai tidak patuh.
Properti mengubah
Properti details
efek modify
memiliki semua subproperti yang menentukan izin yang diperlukan untuk remediasi dan yang operations
digunakan untuk menambahkan, memperbarui, atau menghapus nilai tag.
roleDefinitionIds
(diperlukan)- Properti ini harus menyertakan serangkaian untai (karakter) yang cocok dengan ID peran kontrol akses berbasis peran yang dapat diakses oleh langganan. Untuk informasi selengkapnya, lihat remediasi - mengonfigurasi definisi kebijakan.
- Peran yang ditentukan harus mencakup semua operasi yang diberikan kepada peran Kontributor.
conflictEffect
(opsional)- Menentukan definisi kebijakan mana yang "menang" jika lebih dari satu definisi kebijakan memodifikasi properti yang sama atau ketika
modify
operasi tidak berfungsi pada alias yang ditentukan.- Untuk sumber daya baru atau yang diperbarui, definisi kebijakan dengan tolak diutamakan. Definisi kebijakan dengan audit melewati semua
operations
. Jika lebih dari satu definisi kebijakan memiliki efek tolak, permintaan ditolak sebagai konflik. Jika semua definisi kebijakan memiliki audit, maka tidak adaoperations
definisi kebijakan yang bertentangan yang diproses. - Untuk sumber daya yang ada, jika lebih dari satu definisi kebijakan memiliki efek tolak, status kepatuhannya adalah Konflik. Jika satu atau lebih sedikit definisi kebijakan memiliki tolak efek, setiap penugasan mengembalikan status kepatuhan yang Tidak patuh.
- Untuk sumber daya baru atau yang diperbarui, definisi kebijakan dengan tolak diutamakan. Definisi kebijakan dengan audit melewati semua
- Nilai yang tersedia: audit,, tolak. dinonaktifkan.
- Nilai defaultnya adalah tolak.
- Menentukan definisi kebijakan mana yang "menang" jika lebih dari satu definisi kebijakan memodifikasi properti yang sama atau ketika
operations
(diperlukan)- Array semua operasi tag yang akan diselesaikan pada sumber daya yang cocok.
- Properti:
operation
(diperlukan)field
(diperlukan)- Tag untuk menambahkan, mengganti, atau menghapus. Nama tag harus mematuhi konvensi penamaan yang sama untuk bidang lain.
value
(opsional)- Nilai untuk mengatur tag ke.
- Properti ini diperlukan jika
operation
addOrReplace atau Add.
condition
(opsional)- Untai (karakter) yang berisi ekspresi bahasa Azure Policy dengan Fungsi kebijakan yang dievaluasi ke true atau false.
- Tidak mendukung fungsi Azure Policy berikut:
field()
,resourceGroup()
,subscription()
.
Operasi mengubah
Array operations
properti memungkinkan untuk mengubah beberapa tag dengan cara yang berbeda dari satu definisi kebijakan. Setiap operasi terdiri dari operation
properti , field
, dan value
. operation
menentukan apa yang dilakukan tugas remediasi pada tag, field
menentukan tag mana yang diubah, dan value
menentukan pengaturan baru untuk tag tersebut. Contoh berikut membuat perubahan tag berikut:
environment
Mengatur tag ke "Uji" meskipun sudah ada dengan nilai yang berbeda.- Menghapus tag
TempResource
. - Menyetel
Dept
tag ke parameter kebijakan DeptName yang dikonfigurasi pada penugasan kebijakan.
"details": {
...
"operations": [
{
"operation": "addOrReplace",
"field": "tags['environment']",
"value": "Test"
},
{
"operation": "Remove",
"field": "tags['TempResource']",
},
{
"operation": "addOrReplace",
"field": "tags['Dept']",
"value": "[parameters('DeptName')]"
}
]
}
Properti operation
memiliki opsi berikut:
Operasi | Deskripsi |
---|---|
addOrReplace |
Menambahkan properti atau tag dan nilai yang ditentukan ke sumber daya, meskipun properti atau tag sudah ada dengan nilai yang berbeda. |
add |
Menambahkan properti atau tag dan nilai yang ditentukan ke sumber daya. |
remove |
Menghapus tag yang ditentukan dari sumber daya. Hanya didukung untuk tag. |
Contoh mengubah
Contoh 1: Tambahkan environment
tag dan ganti environment
tag yang ada dengan "Uji":
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [
{
"operation": "addOrReplace",
"field": "tags['environment']",
"value": "Test"
}
]
}
}
Contoh 2: Hapus env
tag dan tambahkan environment
tag atau ganti environment
tag yang ada dengan nilai parameter:
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"conflictEffect": "deny",
"operations": [
{
"operation": "Remove",
"field": "tags['env']"
},
{
"operation": "addOrReplace",
"field": "tags['environment']",
"value": "[parameters('tagValue')]"
}
]
}
}
Contoh 3: Pastikan bahwa akun penyimpanan tidak mengizinkan akses publik blob, modify
operasi hanya diterapkan saat mengevaluasi permintaan dengan versi API yang lebih besar atau sama dengan 2019-04-01
:
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/17d1049b-9a84-46fb-8f53-869881c3d3ab"
],
"conflictEffect": "audit",
"operations": [
{
"condition": "[greaterOrEquals(requestContext().apiVersion, '2019-04-01')]",
"operation": "addOrReplace",
"field": "Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
"value": false
}
]
}
}
Langkah berikutnya
- Tinjau sampel pada sampel Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Memahami cara membuat kebijakan secara terprogram.
- Pelajari cara mendapatkan data kepatuhan.
- Pelajari cara memulihkan sumber daya yang tidak sesuai syarat.
- Tinjau grup manajemen Azure.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk