Azure Policy 정의 deployIfNotExists 효과

auditIfNotExists와 유사하게, deployIfNotExists 정책 정의는 조건이 충족되면 템플릿 배포를 실행합니다. 효과가 DeployIfNotExists로 설정된 정책 할당은 수정하려면 관리 ID가 필요합니다.

참고 항목

중첩 템플릿은 deployIfNotExists에서 지원되지만 링크된 템플릿은 현재 지원되지 않습니다.

DeployIfNotExists 평가

deployIfNotExists는 리소스 공급자가 구독 또는 리소스 요청 만들기 또는 업데이트를 처리하고 성공 상태 코드를 반환한 경우 (구성 가능한) 지연 후에 실행됩니다. 관련 리소스가 없거나 existenceCondition에서 정의한 리소스가 true로 평가되지 않는 경우 템플릿 배포가 발생합니다. 배포 기간은 템플릿에 포함된 리소스의 복잡성에 따라 달라집니다.

평가 주기 중 리소스와 일치하는 DeployIfNotExists 효과가 포함된 정책 정의는 비준수로 표시되지만 해당 리소스에서 작업이 수행되지 않습니다. 기존 비준수 리소스는 수정 작업을 통해 수정할 수 있습니다.

DeployIfNotExists 속성

DeployIfNotExists 효과의 details 속성에는 일치하는 관련된 리소스를 정의하는 모든 하위 속성 및 실행할 템플릿 배포가 있습니다.

• type(필수)
  • 일치하는 관련된 리소스의 형식을 지정합니다.
  • type이 if 조건 리소스 아래의 리소스 종류인 경우 정책은 평가된 리소스 범위 내에서 이 type의 리소스를 쿼리합니다. 그렇지 않으면 existenceScope에 따라 평가된 리소스와 동일한 리소스 그룹 또는 구독 내의 정책 쿼리입니다.
• name(선택 사항)
  • 일치하는 리소스의 정확한 이름을 지정하고 정책에서 지정된 형식의 모든 리소스 대신 하나의 특정 리소스를 인출하도록 합니다.
  • if.field.type 및 then.details.type의 조건 값이 일치하면 name은 필수가 되며 자식 리소스의 경우 [field('name')] 또는 [field('fullName')]이어야 합니다.

참고 항목

type 및 name 세그먼트를 결합하여 일반적으로 중첩된 리소스를 검색할 수 있습니다.

특정 리소스를 검색하려면 "type": "Microsoft.ExampleProvider/exampleParentType/exampleNestedType" 및 "name": "parentResourceName/nestedResourceName"을 사용할 수 있습니다.

중첩된 리소스의 컬렉션을 검색하기 위해 성 세그먼트 대신 ? 와일드카드 문자를 제공할 수 있습니다. 예를 들어 "type": "Microsoft.ExampleProvider/exampleParentType/exampleNestedType" 및 "name": "parentResourceName/?"를 지정합니다. 이는 평가된 리소스와 관련된 리소스(예: "name": "[concat(field('name'), '/?')]")에 액세스하도록 필드 함수와 결합해서 사용할 수 있습니다.

• resourceGroupName(선택 사항)

  • 다른 리소스 그룹에서 오는 관련된 리소스의 일치를 허용합니다.
  • type이 if 조건 리소스 아래에 있는 리소스인 경우에는 적용되지 않습니다.
  • 기본값은 if 조건 리소스의 리소스 그룹입니다.
  • 템플릿 배포가 실행되는 경우 이 값의 리소스 그룹에 배포됩니다.

• existenceScope(선택 사항)

  • 허용되는 값은 Subscription 및 ResourceGroup입니다.
  • 일치하는 관련된 리소스를 인출할 범위를 설정합니다.
  • type이 if 조건 리소스 아래에 있는 리소스인 경우에는 적용되지 않습니다.
  • ResourceGroup이 지정된 경우 resourceGroupName의 리소스 그룹으로 제한됩니다. resourceGroupName이 지정되지 않은 경우 기본 동작인 if 조건 리소스의 리소스 그룹으로 제한됩니다.
  • Subscription의 경우 관련된 리소스에 대한 전체 구독을 쿼리합니다. 할당 범위는 적절한 평가를 위해 구독 이상에서 할당 범위를 설정해야 합니다.
  • 기본값은 ResourceGroup입니다.

• evaluationDelay(선택 사항)

  • 관련 리소스의 존재를 평가해야 하는 시기를 지정합니다. 지연은 리소스 만들기 또는 업데이트 요청의 결과인 평가에만 사용됩니다.
  • 허용되는 값은 AfterProvisioning, AfterProvisioningSuccess, AfterProvisioningFailure 또는 0분에서 360분 사이의 ISO 8601 기간입니다.
  • AfterProvisioning 값은 정책 규칙의 if 조건에서 평가된 리소스의 프로비저닝 결과를 검사합니다. AfterProvisioning은 결과에 관계없이 프로비저닝이 완료된 후 실행됩니다. 6시간 이상 걸리는 프로비전은 AfterProvisioning 평가 지연을 결정할 때 실패로 처리됩니다.
  • 기본값은 PT10M(10분)입니다.
  • 긴 평가 지연을 지정하면 기록된 리소스의 규정 준수 상태가 다음 평가 트리거까지 업데이트되지 않을 수 있습니다.

• existenceCondition(선택 사항)

  • 지정되지 않은 경우 type의 모든 관련 리소스는 효과를 충족하고 배포를 트리거하지 않습니다.
  • if 조건에 대해 정책 규칙과 동일한 언어를 사용하지만 관련된 각 리소스에 대해 개별적으로 평가됩니다.
  • 일치하는 모든 관련 리소스가 true로 평가되는 경우 효과가 충족되고 배포를 트리거하지 않습니다.
  • [field()]를 사용하여 if 조건의 값과 동일한지 확인할 수 있습니다.
  • 예를 들어 부모 리소스(if 조건에서)가 일치하는 관련된 리소스와 동일한 리소스 위치에 있는지 확인하는 데 사용될 수 있습니다.

• roleDefinitionIds(필수)

  • 이 속성은 구독에서 액세스할 수 있는 역할 기반 액세스 제어 역할 ID와 일치하는 문자열 배열을 포함해야 합니다. 자세한 내용은 수정 - 정책 정의 구성을 참조하세요.

• deploymentScope(선택 사항)

  • 허용되는 값은 Subscription 및 ResourceGroup입니다.
  • 트리거될 배포 유형을 설정합니다. Subscription은 구독 수준의 배포를 나타내며, ResourceGroup은 리소스 그룹에 대한 배포를 나타냅니다.
  • 구독 수준 배포를 사용하는 경우 location 속성을 Deployment에 지정해야 합니다.
  • 기본값은 ResourceGroup입니다.

• deployment(필수)

  • 이 속성은 Microsoft.Resources/deployments PUT API로 전달되므로 전체 템플릿 배포를 포함해야 합니다. 자세한 내용은 배포 REST API를 참조하세요.
  • 템플릿 내의 중첩된 Microsoft.Resources/deployments는 여러 정책 평가 간의 경합을 피하기 위해 고유한 이름을 사용해야 합니다. 상위 배포의 이름은 [concat('NestedDeploymentName-', uniqueString(deployment().name))]을 통해 중첩된 배포 이름의 일부로 사용할 수 있습니다.

  참고 항목

  deployment 속성 내부의 모든 함수는 정책이 아닌 템플릿의 구성 요소로 평가됩니다. 정책에서 템플릿으로 값을 전달하는 parameters 속성은 예외입니다. 템플릿 매개 변수 이름 아래에 있는 이 섹션의 value는 이 값의 전달을 수행하는 데 사용됩니다(DeployIfNotExists 예의 fullDbName 참조).

DeployIfNotExists 예제

예: SQL Server 데이터베이스를 평가하여 transparentDataEncryption이 사용되는지 여부를 확인합니다. 그렇지 않은 경우 활성화하는 배포가 실행됩니다.

"if": {
  "field": "type",
  "equals": "Microsoft.Sql/servers/databases"
},
"then": {
  "effect": "deployIfNotExists",
  "details": {
    "type": "Microsoft.Sql/servers/databases/transparentDataEncryption",
    "name": "current",
    "evaluationDelay": "AfterProvisioning",
    "roleDefinitionIds": [
      "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
      "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ],
    "existenceCondition": {
      "field": "Microsoft.Sql/transparentDataEncryption.status",
      "equals": "Enabled"
    },
    "deployment": {
      "properties": {
        "mode": "incremental",
        "template": {
          "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
          "contentVersion": "1.0.0.0",
          "parameters": {
            "fullDbName": {
              "type": "string"
            }
          },
          "resources": [
            {
              "name": "[concat(parameters('fullDbName'), '/current')]",
              "type": "Microsoft.Sql/servers/databases/transparentDataEncryption",
              "apiVersion": "2014-04-01",
              "properties": {
                "status": "Enabled"
              }
            }
          ]
        },
        "parameters": {
          "fullDbName": {
            "value": "[field('fullName')]"
          }
        }
      }
    }
  }
}

다음 단계

• Azure Policy 샘플에서 예제를 검토합니다.
• Azure Policy 정의 구조를 검토합니다.
• 프로그래밍 방식으로 정책을 만드는 방법을 이해합니다.
• 규정 준수 데이터를 가져오는 방법을 알아봅니다.
• 규정 비준수 리소스를 수정하는 방법을 알아봅니다.
• Azure 관리 그룹을 검토합니다.