Não há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
O efeito denyAction é usado para bloquear solicitações com base na ação pretendida para recursos em escala. No momento, a única ação compatível é DELETE. Esse efeito e o nome da ação ajudam a evitar qualquer exclusão acidental de recursos críticos.
Quando uma chamada de solicitação com um nome de ação aplicável e escopo de destino é enviada, denyAction impede que a solicitação seja bem-sucedida. A solicitação é retornada como um 403 (Forbidden). No portal, Forbidden pode ser exibido como um status de implantação que foi impedido pela atribuição de política.
Microsoft.Authorization/policyAssignments, Microsoft.Authorization/denyAssignments, Microsoft.Blueprint/blueprintAssignments, Microsoft.Resources/deploymentStacks, Microsoft.Resources/subscriptions e Microsoft.Authorization/locks são todos isentos da imposição de denyAction para evitar cenários de bloqueio.
A política não bloqueará a remoção de recursos que ocorre durante uma exclusão de assinatura.
A política avaliará os recursos compatíveis com a localização e as marcas em relação a políticas denyAction durante uma exclusão do grupo de recursos. Somente as políticas que têm o cascadeBehaviors definido como deny na regra de política bloquearão uma exclusão do grupo de recursos. A política não bloqueará a remoção de recursos incompatíveis com a localização e as marcas nem qualquer política com mode:all.
A exclusão em cascata ocorre quando a exclusão de um recurso pai exclui implicitamente todos os seus recursos filho e de extensão. A política não bloqueará a remoção de recursos filho e de extensão quando uma ação de exclusão for direcionada aos recursos pai. Por exemplo, Microsoft.Insights/diagnosticSettings é um recurso de extensão de Microsoft.Storage/storageaccounts. Se uma política denyAction for direcionada a Microsoft.Insights/diagnosticSettings, uma chamada de exclusão para a configuração de diagnóstico (filho) falhará, mas uma exclusão para a conta de armazenamento (pai) excluirá implicitamente a configuração de diagnóstico (extensão).
Esta tabela descreve se um recurso está protegido contra exclusão, considerando o recurso aplicável à política denyAction atribuída e o escopo de destino da chamada DELETE. No contexto dessa tabela, um recurso indexado dá suporte a marcas e locais, e um recurso não indexado não dá suporte a marcas ou locais. Para obter mais informações sobre recursos indexados e não indexados, acesse modo de definição. Recursos filho são recursos que existem apenas no contexto de outro recurso. Por exemplo, um recurso de extensão de máquinas virtuais é filho da máquina virtual, que é o recurso pai.
| Entidade sendo excluída | Entidade aplicável às condições de política | Ação executada |
|---|---|---|
| Recurso | Recurso | Protegido |
| Subscription | Recurso | Excluído |
| Grupo de recursos | Recurso indexado | Depende de cascadeBehaviors |
| Grupo de recursos | Recurso não indexado | Excluído |
| Recurso filho | Recurso pai | O pai está protegido; o filho é excluído |
| Recurso pai | Recurso filho | Excluído |
A propriedade details do efeito denyAction tem todas as subpropriedades que definem a ação e os comportamentos.
actionNames (obrigatório) delete.cascadeBehaviors (opcional) indexed.allow ou deny.deny.Exemplo: negar todas as chamadas de exclusão direcionadas a contas de banco de dados que tenham um ambiente de marca que seja igual a prod. Como o comportamento em cascata é definido como deny, bloqueie qualquer chamada DELETE direcionada a um grupo de recursos com uma conta de banco de dados aplicável.
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.DocumentDb/accounts"
},
{
"field": "tags.environment",
"equals": "prod"
}
]
},
"then": {
"effect": "denyAction",
"details": {
"actionNames": [
"delete"
],
"cascadeBehaviors": {
"resourceGroup": "deny"
}
}
}
}
Treinamento
Módulo
Azure Policy initiatives - Training
Azure Policy initiatives are a collection of Azure policy definitions that are grouped together toward a specific goal or purpose. By consolidating multiple Azure policies into a single item, Azure Policy initiatives allow centralized control and enforcement of configurations across Azure resources.
Documentação
Efeito audit para as definições do Azure Policy - Azure Policy
O efeito audit das definições do Azure Policy determina como a conformidade é gerenciada e relatada.
Efeito desabilitado das definições do Azure Policy - Azure Policy
O efeito desabilitado das definições do Azure Policy determina como a conformidade é gerenciada e relatada.
Fundamentos dos Efeitos das Definições de Política no Azure - Azure Policy
As definições do Azure Policy afetam os princípios básicos que determinam como a conformidade é gerenciada e relatada.