Шаблон политики Azure: логические операторы
Определение политики может содержать несколько условных операторов. Вам может понадобиться, чтобы каждое утверждение имело значение "true", или чтобы некоторые из них были "true". Для поддержки этих потребностей язык имеет логические операторы для not, allOfи anyOf. Они необязательны и могут быть вложены для создания сложных сценариев.
Пример 1. Один логический оператор
Это определение политики оценивает учетные записи Azure Cosmos DB, чтобы узнать, настроены ли автоматические переходы на другой ресурс и несколько расположений для записи. Если нет, выполняется аудит, который создает запись в журнале при создании или обновлении несоответствующего ресурса.
{
"properties": {
"mode": "all",
"displayName": "Audit Automatic Failover for CosmosDB accounts",
"description": "This policy audits Automatic Failover for CosmosDB accounts",
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.DocumentDB/databaseAccounts"
},
{
"field": "Microsoft.DocumentDB/databaseAccounts/enableAutomaticFailover",
"equals": "false"
},
{
"field": "Microsoft.DocumentDB/databaseAccounts/enableMultipleWriteLocations",
"equals": "false"
}
]
},
"then": {
"effect": "audit"
}
},
"parameters": {},
"metadata": {}
}
}
Пример 1. Объяснение
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.DocumentDB/databaseAccounts"
},
{
"field": "Microsoft.DocumentDB/databaseAccounts/enableAutomaticFailover",
"equals": "false"
},
{
"field": "Microsoft.DocumentDB/databaseAccounts/enableMultipleWriteLocations",
"equals": "false"
}
]
},
"then": {
Блок policyRule.if использует один allOf, чтобы убедиться, что все три условия имеют значение "true". Действие audit срабатывает, только если все эти условия имеют значение "true".
Пример 2. Несколько логических операторов
Это определение политики оценивает ресурсы для шаблона именования. Если ресурс не соответствует, он отклоняется.
{
"properties": {
"displayName": "Match multiple name patterns.",
"description": "Allows one of multiple naming patterns for resources.",
"mode": "Indexed",
"policyRule": {
"if": {
"allOf": [{
"not": {
"field": "name",
"match": "contoso??????"
}
},
{
"not": {
"field": "name",
"match": "contoso-???-##"
}
}
]
},
"then": {
"effect": "deny"
}
}
}
}
Пример 2. Объяснение
"if": {
"allOf": [{
"not": {
"field": "name",
"match": "contoso??????"
}
},
{
"not": {
"field": "name",
"match": "contoso-???-##"
}
}
]
},
Этот блок policyRule.if также включает один allOf, но каждое условие заключено логическим оператором not. Сначала вычисляется условие внутри логического оператора not, а затем вычисляется значение not, чтобы определить, является целое предложение "true" или "false". Если оба логические операторы not имеют значение "true", то действие политики срабатывает.
Пример 3. Объединение логических операторов
Это определение политики проверяет, включена ли трассировка в учетных записях Spring в Azure и находится ли она в рабочем состоянии.
{
"properties": {
"displayName": "Audit Azure Spring Cloud instances where distributed tracing is not enabled",
"description": "Distributed tracing tools in Azure Spring Cloud allow debugging and monitoring the complex interconnections between microservices in an application. Distributed tracing tools should be enabled and in a healthy state.",
"mode": "Indexed",
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.AppPlatform/Spring"
},
{
"anyOf": [{
"field": "Microsoft.AppPlatform/Spring/trace.enabled",
"notEquals": "true"
},
{
"field": "Microsoft.AppPlatform/Spring/trace.state",
"notEquals": "Succeeded"
}
]
}
]
},
"then": {
"effect": "audit"
}
}
}
}
Пример 3. Объяснение
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.AppPlatform/Spring"
},
{
"anyOf": [{
"field": "Microsoft.AppPlatform/Spring/trace.enabled",
"notEquals": "true"
},
{
"field": "Microsoft.AppPlatform/Spring/trace.state",
"notEquals": "Succeeded"
}
]
}
]
},
"then": {
"effect": "audit"
}
}
Этот блок policyRule.if содержит оба логических оператора — allOf и anyOf. Оператор anyOf имеет значение "true", если любое из его условий имеет значение "true". Поскольку type лежит в основе allOf, он должен всегда иметь значение "true". Если type и одно из условий anyOf имеют значение "true", то действие политики срабатывает.
Следующие шаги
- Ознакомьтесь с другими шаблонами и встроенными определениями.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.