Policy Assignments - Create By Id
创建或更新策略分配。
该作创建或更新与给定ID的策略分配。 针对某一领域所做的策略分配适用于该范围内的所有资源。 例如,当你将策略分配给资源组时,该策略适用于该组内的所有资源。 策略分配ID的格式为:'{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}'。 有效的作用域包括:管理组(格式:'/providers/Microsoft.Management/managementGroups/{managementGroup}')、订阅(格式:'/subscriptions/{subscriptionId}')、资源组(格式:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}'),或资源(格式:'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/[{parentResourcePath}/]{resourceType}/{resourceName}''。
PUT https://management.azure.com/{policyAssignmentId}?api-version=2025-01-01URI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
policy
|
path | True |
string |
要创建的策略分配的ID。 使用格式“{scope}/providers/Microsoft.Authorization/policyAssignments/{policyAssignmentName}”。 |
|
api-version
|
query | True |
string minLength: 1 |
用于此作的 API 版本。 |
请求正文
| 名称 | 类型 | 说明 |
|---|---|---|
| identity |
与策略分配关联的托管标识。 |
|
| location |
string |
策略分配的位置。 仅当使用托管标识时才需要。 |
| properties.assignmentType |
策略分配的类型。 可能的值为 NotSpecified、System、SystemHidden 和 Custom。 不可变。 |
|
| properties.definitionVersion |
string |
要使用的策略定义的版本。 |
| properties.description |
string |
如果发生策略冲突,此消息将是响应的一部分。 |
| properties.displayName |
string |
策略分配的显示名称。 |
| properties.enforcementMode |
策略分配强制模式。 可能的值为 Default、DoNotEnforce 和 Enroll |
|
| properties.metadata |
object |
策略分配元数据。 元数据是一个开放结束的对象,通常是键值对的集合。 |
| properties.nonComplianceMessages |
描述资源不符合策略的原因的消息。 |
|
| properties.notScopes |
string[] |
策略的排除范围。 |
| properties.overrides |
Override[] |
策略属性值重写。 |
| properties.parameters |
<string,
Parameter |
分配的策略规则的参数值。 键是参数名称。 |
| properties.policyDefinitionId |
string |
要分配的策略定义或策略集定义的 ID。 |
| properties.resourceSelectors |
按资源属性筛选策略的资源选择器列表。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 201 Created |
创建 - 返回关于策略分配的信息。 |
|
| Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 Flow.
类型:
oauth2
流向:
implicit
授权 URL:
https://login.microsoftonline.com/common/oauth2/authorize
作用域
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
| Create or update policy assignment by ID |
| Create or update policy assignment with a managed identity by ID |
Create or update policy assignment by ID
示例请求
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/MyManagementGroup/providers/Microsoft.Authorization/policyAssignments/LowCostStorage?api-version=2025-01-01
{
"properties": {
"displayName": "Enforce storage account SKU",
"description": "Allow only storage accounts of SKU Standard_GRS or Standard_LRS to be created",
"metadata": {
"assignedBy": "Cheapskate Boss"
},
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
"definitionVersion": "1.*.*",
"parameters": {
"listOfAllowedSKUs": {
"value": [
"Standard_GRS",
"Standard_LRS"
]
}
},
"enforcementMode": "Default"
}
}
示例响应
{
"properties": {
"displayName": "Enforce storage account SKU",
"description": "Allow only storage accounts of SKU Standard_GRS or Standard_LRS to be created",
"metadata": {
"assignedBy": "Cheapskate Boss"
},
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
"definitionVersion": "1.*.*",
"notScopes": [],
"parameters": {
"listOfAllowedSKUs": {
"value": [
"Standard_GRS",
"Standard_LRS"
]
}
},
"enforcementMode": "Default",
"instanceId": "b7e0f8a9-1c2d-4e3f-8b4c-5d6e7f8a9b0c"
},
"id": "/providers/Microsoft.Management/managementGroups/MyManagementGroup/providers/Microsoft.Authorization/policyAssignments/LowCostStorage",
"type": "Microsoft.Authorization/policyAssignments",
"name": "LowCostStorage"
}Create or update policy assignment with a managed identity by ID
示例请求
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/MyManagementGroup/providers/Microsoft.Authorization/policyAssignments/LowCostStorage?api-version=2025-01-01
{
"identity": {
"type": "SystemAssigned"
},
"location": "eastus",
"properties": {
"displayName": "Enforce storage account SKU",
"description": "Allow only storage accounts of SKU Standard_GRS or Standard_LRS to be created",
"metadata": {
"assignedBy": "Cheapskate Boss"
},
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
"definitionVersion": "1.*.*",
"parameters": {
"listOfAllowedSKUs": {
"value": [
"Standard_GRS",
"Standard_LRS"
]
}
},
"enforcementMode": "Default"
}
}
示例响应
{
"properties": {
"displayName": "Enforce storage account SKU",
"description": "Allow only storage accounts of SKU Standard_GRS or Standard_LRS to be created",
"metadata": {
"assignedBy": "Cheapskate Boss"
},
"policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/7433c107-6db4-4ad1-b57a-a76dce0154a1",
"definitionVersion": "1.*.*",
"notScopes": [],
"parameters": {
"listOfAllowedSKUs": {
"value": [
"Standard_GRS",
"Standard_LRS"
]
}
},
"enforcementMode": "Default",
"instanceId": "b7e0f8a9-1c2d-4e3f-8b4c-5d6e7f8a9b0c"
},
"identity": {
"type": "SystemAssigned",
"principalId": "e6d23f8d-af97-4fbc-bda6-00604e4e3d0a",
"tenantId": "4bee2b8a-1bee-47c2-90e9-404241551135"
},
"location": "eastus",
"id": "/providers/Microsoft.Management/managementGroups/MyManagementGroup/providers/Microsoft.Authorization/policyAssignments/LowCostStorage",
"type": "Microsoft.Authorization/policyAssignments",
"name": "LowCostStorage"
}定义
| 名称 | 说明 |
|---|---|
|
assignment |
策略分配的类型。 可能的值为 NotSpecified、System、SystemHidden 和 Custom。 不可变。 |
|
Cloud |
策略操作的错误响应。 |
|
created |
创建资源的标识的类型。 |
|
enforcement |
策略分配强制模式。 可能的值为 Default、DoNotEnforce 和 Enroll |
|
Error |
资源管理错误附加信息。 |
|
Error |
错误响应 |
| Identity |
资源的标识。 策略赋值最多支持一个身份。 这要么是系统分配的身份,要么是单一用户指定的身份。 |
|
Non |
描述资源不符合策略的原因的消息。 这会显示在“拒绝”错误消息中,以及资源的不符合符合性结果。 |
| Override |
策略属性值重写。 |
|
Override |
重写类型。 |
|
Parameter |
参数的值。 |
|
Policy |
政策分配。 |
|
Resource |
标识类型。 这是将系统或用户分配的标识添加到资源时的唯一必填字段。 |
|
Resource |
按资源属性筛选策略的资源选择器。 |
| Selector |
选择器表达式。 |
|
Selector |
选择器类型。 |
|
system |
与创建和上次修改资源相关的元数据。 |
|
User |
与策略关联的用户标识。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 |
assignmentType
策略分配的类型。 可能的值为 NotSpecified、System、SystemHidden 和 Custom。 不可变。
| 值 | 说明 |
|---|---|
| NotSpecified | |
| System | |
| SystemHidden | |
| Custom |
CloudError
策略操作的错误响应。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
错误响应 |
createdByType
创建资源的标识的类型。
| 值 | 说明 |
|---|---|
| User | |
| Application | |
| ManagedIdentity | |
| Key |
enforcementMode
策略分配强制模式。 可能的值为 Default、DoNotEnforce 和 Enroll
| 值 | 说明 |
|---|---|
| Default |
在创建或更新资源期间强制实施策略效果。 |
| DoNotEnforce |
在资源创建或更新期间,策略效果不会被强制执行。 |
| Enroll |
在资源创建或更新时,策略效果不会被强制执行,直到资源或资源的作用域被注册到分配实例。 在部署政策注册资源时进行注册。 |
ErrorAdditionalInfo
资源管理错误附加信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| info |
object |
其他信息。 |
| type |
string |
其他信息类型。 |
ErrorResponse
错误响应
| 名称 | 类型 | 说明 |
|---|---|---|
| additionalInfo |
错误附加信息。 |
|
| code |
string |
错误代码。 |
| details |
错误详细信息。 |
|
| message |
string |
错误消息。 |
| target |
string |
错误目标。 |
Identity
资源的标识。 策略赋值最多支持一个身份。 这要么是系统分配的身份,要么是单一用户指定的身份。
| 名称 | 类型 | 说明 |
|---|---|---|
| principalId |
string |
资源身份的主ID。 该属性仅会为系统分配的身份提供 |
| tenantId |
string |
资源身份的租户ID。 该属性仅会为系统分配的身份提供 |
| type |
标识类型。 这是将系统或用户分配的标识添加到资源时的唯一必填字段。 |
|
| userAssignedIdentities |
与策略关联的用户标识。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 |
NonComplianceMessage
描述资源不符合策略的原因的消息。 这会显示在“拒绝”错误消息中,以及资源的不符合符合性结果。
| 名称 | 类型 | 说明 |
|---|---|---|
| message |
string |
描述资源不符合策略的原因的消息。 这会显示在“拒绝”错误消息中,以及资源的不符合符合性结果。 |
| policyDefinitionReferenceId |
string |
消息适用于的策略集定义中的策略定义引用 ID。 这仅适用于策略分配分配策略集定义。 如果未提供此消息,则消息适用于此策略分配分配的所有策略。 |
Override
策略属性值重写。
| 名称 | 类型 | 说明 |
|---|---|---|
| kind |
重写类型。 |
|
| selectors |
Selector[] |
选择器表达式的列表。 |
| value |
string |
要重写策略属性的值。 |
OverrideKind
重写类型。
| 值 | 说明 |
|---|---|
| policyEffect |
它会覆盖政策效果类型。 |
| definitionVersion |
它会覆盖策略分配的定义版本属性值。 |
ParameterValuesValue
参数的值。
| 名称 | 类型 | 说明 |
|---|---|---|
| value |
参数的值。 |
PolicyAssignment
政策分配。
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| id |
string |
策略分配的 ID。 |
|
| identity |
与策略分配关联的托管标识。 |
||
| location |
string |
策略分配的位置。 仅当使用托管标识时才需要。 |
|
| name |
string |
策略分配的名称。 |
|
| properties.assignmentType |
策略分配的类型。 可能的值为 NotSpecified、System、SystemHidden 和 Custom。 不可变。 |
||
| properties.definitionVersion |
string |
要使用的策略定义的版本。 |
|
| properties.description |
string |
如果发生策略冲突,此消息将是响应的一部分。 |
|
| properties.displayName |
string |
策略分配的显示名称。 |
|
| properties.effectiveDefinitionVersion |
string |
所使用的政策定义的有效版本。 只有通过$expand查询参数请求时才会存在。 |
|
| properties.enforcementMode | Default |
策略分配强制模式。 可能的值为 Default、DoNotEnforce 和 Enroll |
|
| properties.instanceId |
string |
策略分配的实例ID。 这个ID只有在分配被删除并重新创建时才会改变。 |
|
| properties.latestDefinitionVersion |
string |
最新版本的保单定义可供使用。 只有通过$expand查询参数请求时才会存在。 |
|
| properties.metadata |
object |
策略分配元数据。 元数据是一个开放结束的对象,通常是键值对的集合。 |
|
| properties.nonComplianceMessages |
描述资源不符合策略的原因的消息。 |
||
| properties.notScopes |
string[] |
策略的排除范围。 |
|
| properties.overrides |
Override[] |
策略属性值重写。 |
|
| properties.parameters |
<string,
Parameter |
分配的策略规则的参数值。 键是参数名称。 |
|
| properties.policyDefinitionId |
string |
要分配的策略定义或策略集定义的 ID。 |
|
| properties.resourceSelectors |
按资源属性筛选策略的资源选择器列表。 |
||
| properties.scope |
string |
策略分配的范围。 |
|
| systemData |
与此资源相关的系统元数据。 |
||
| type |
string |
保单分配的类型。 |
ResourceIdentityType
标识类型。 这是将系统或用户分配的标识添加到资源时的唯一必填字段。
| 值 | 说明 |
|---|---|
| SystemAssigned |
表示该资源关联了系统分配的身份。 |
| UserAssigned |
表示该资源关联了系统分配的身份。 |
| None |
表示该资源没有关联任何身份,或现有身份应被移除。 |
ResourceSelector
按资源属性筛选策略的资源选择器。
| 名称 | 类型 | 说明 |
|---|---|---|
| name |
string |
资源选择器的名称。 |
| selectors |
Selector[] |
选择器表达式的列表。 |
Selector
选择器表达式。
| 名称 | 类型 | 说明 |
|---|---|---|
| in |
string[] |
要筛选的值列表。 |
| kind |
选择器类型。 |
|
| notIn |
string[] |
要筛选出的值列表。 |
SelectorKind
选择器类型。
| 值 | 说明 |
|---|---|
| resourceLocation |
按资源位置筛选策略的选择器类型。 |
| resourceType |
按资源类型筛选策略的选择器类型。 |
| resourceWithoutLocation |
按没有位置的资源筛选策略的选择器类型。 |
| policyDefinitionReferenceId |
按策略定义引用 ID 筛选策略的选择器类型。 |
systemData
与创建和上次修改资源相关的元数据。
| 名称 | 类型 | 说明 |
|---|---|---|
| createdAt |
string (date-time) |
资源创建时间戳(UTC)。 |
| createdBy |
string |
创建资源的标识。 |
| createdByType |
创建资源的标识的类型。 |
|
| lastModifiedAt |
string (date-time) |
上次修改的资源时间戳(UTC) |
| lastModifiedBy |
string |
上次修改资源的标识。 |
| lastModifiedByType |
上次修改资源的标识的类型。 |
UserAssignedIdentities
与策略关联的用户标识。 用户标识字典密钥引用的格式为 ARM 资源 ID:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。
| 名称 | 类型 | 说明 |
|---|---|---|
|
|