你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Policy Assignments - List For Resource
检索应用于资源的所有策略分配。
此操作检索与给定资源组和订阅中与可选给定$filter的指定资源关联的所有策略分配的列表。 $filter的有效值为:“atScope () ”、“atExactScope () ”或“policyDefinitionId eq'{value}”。 如果未提供$filter,则未筛选列表包括与资源关联的所有策略分配,包括直接应用或从所有包含范围应用的策略分配,以及应用于资源中包含的资源的任何策略分配。 如果提供了 $filter=atScope () ,则返回的列表包括应用于资源的所有策略分配,这些分配是未筛选列表中除应用于资源中包含的资源以外的所有策略分配。 如果提供了 $filter=atExactScope () ,则返回的列表仅包括资源级别的所有策略分配。 如果提供了 $filter=policyDefinitionId eq“{value}”,则返回的列表包括策略定义的所有策略分配,其 ID 为 {value},适用于资源。 三个参数加上资源名称用于标识特定资源。 如果资源不是父资源的一部分 (更常见的情况) ,则父资源路径不应 (提供或作为“”) 提供。 例如,可以将 Web 应用指定为 ({resourceProviderNamespace} == 'Microsoft.Web', {parentResourcePath} == '', {resourceType} == 'sites', {resourceName} == 'MyWebApp') 。 如果资源是父资源的一部分,则应提供所有参数。 例如,可以将虚拟机 DNS 名称指定为 ({resourceProviderNamespace} == 'Microsoft.Compute',{parentResourcePath} == 'virtualMachines/MyVirtualMachine', {resourceType} == 'domainNames', {resourceName} == 'MyComputerName') 。 单独提供命名空间和类型名称的一种便捷替代方法是以 {resourceType} 参数格式提供: ({resourceProviderNamespace} == '',{parentResourcePath} == '',{resourceType} == 'Microsoft.Web/sites',{resourceName} == 'MyWebApp') 。
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}/providers/Microsoft.Authorization/policyAssignments?api-version=2023-04-01GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{parentResourcePath}/{resourceType}/{resourceName}/providers/Microsoft.Authorization/policyAssignments?$filter={$filter}&$top={$top}&api-version=2023-04-01URI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
parent
|
path | True |
string |
父资源路径。 如果没有,请使用空字符串。 |
|
resource
|
path | True |
string |
包含资源的资源组的名称。 Regex pattern: |
|
resource
|
path | True |
string |
资源的名称。 Regex pattern: |
|
resource
|
path | True |
string |
资源提供程序的命名空间。 例如,虚拟机的命名空间是 Microsoft.Compute/virtualMachines (microsoft.Compute/virtualMachines) |
|
resource
|
path | True |
string |
资源类型名称。 例如,Web 应用的类型名称是 Microsoft.Web/sites) (“sites”。 |
|
subscription
|
path | True |
string uuid |
目标订阅的 ID。 该值必须是 UUID。 |
|
api-version
|
query | True |
string |
要用于此操作的 API 版本。 |
|
$filter
|
query |
string |
要应用于操作的筛选器。 $filter的有效值为:“atScope () ”、“atExactScope () ”或“policyDefinitionId eq'{value}”。 如果未提供$filter,则不执行筛选。 如果提供了 $filter=atScope () ,则返回的列表仅包括应用于范围的所有策略分配,该分配是未筛选列表中除应用于给定作用域中包含的子范围以外的所有策略分配。 如果提供了 $filter=atExactScope () ,则返回的列表仅包括给定范围内的所有策略分配。 如果提供了 $filter=policyDefinitionId eq“{value}”,则返回的列表包括其 ID 为 {value} 的策略定义的所有策略分配。 |
|
|
$top
|
query |
integer int32 |
要返回的最大记录数。 如果未提供$top筛选器,它将返回 500 条记录。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
确定 - 返回策略分配的数组。 |
|
| Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流。
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
| 名称 | 说明 |
|---|---|
| user_impersonation | 模拟用户帐户 |
示例
List all policy assignments that apply to a resource
Sample Request
GET https://management.azure.com/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/resourceGroups/TestResourceGroup/providers/Microsoft.Compute/virtualMachines/MyTestVm/domainNames/MyTestComputer.cloudapp.net/providers/Microsoft.Authorization/policyAssignments?api-version=2023-04-01
Sample Response
{
"value": [
{
"id": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/resourceGroups/TestResourceGroup/providers/Microsoft.Authorization/policyAssignments/TestCostManagement",
"type": "Microsoft.Authorization/policyAssignments",
"name": "TestCostManagement",
"location": "eastus",
"identity": {
"type": "SystemAssigned",
"principalId": "e6d23f8d-af97-4fbc-bda6-00604e4e3d0a",
"tenantId": "4bee2b8a-1bee-47c2-90e9-404241551135"
},
"properties": {
"displayName": "VM Cost Management",
"description": "Minimize the risk of accidental cost overruns",
"metadata": {
"category": "Cost Management"
},
"policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/vmSkus",
"parameters": {
"allowedSkus": {
"value": "Standard_A1"
}
},
"scope": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/resourceGroups/TestResourceGroup",
"notScopes": []
}
},
{
"id": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/resourceGroups/TestResourceGroup/providers/Microsoft.Authorization/policyAssignments/TestTagEnforcement",
"type": "Microsoft.Authorization/policyAssignments",
"name": "TestTagEnforcement",
"properties": {
"displayName": "Enforces a tag key and value",
"description": "Ensure a given tag key and value are present on all resources",
"policyDefinitionId": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/providers/Microsoft.Authorization/policyDefinitions/TagKeyValue",
"scope": "/subscriptions/ae640e6b-ba3e-4256-9d62-2993eecfa6f2/resourceGroups/TestResourceGroup",
"notScopes": []
}
}
]
}定义
| 名称 | 说明 |
|---|---|
|
Cloud |
来自策略操作的错误响应。 |
|
created |
创建资源的标识类型。 |
|
enforcement |
策略分配强制模式。 可能的值为 Default 和 DoNotEnforce。 |
|
Error |
资源管理错误附加信息。 |
|
Error |
错误响应 |
| Identity |
资源的标识。 策略分配最多支持一个标识。 这是系统分配的标识或单个用户分配的标识。 |
|
Non |
描述资源不符合策略的原因的消息。 这显示在“拒绝”错误消息和资源不符合符合性结果中。 |
| Override |
策略属性值替代。 |
|
Override |
替代类型。 |
|
Parameter |
参数的值。 |
|
Policy |
策略分配。 |
|
Policy |
策略分配列表。 |
|
Resource |
标识类型。 这是向资源添加系统或用户分配的标识时的唯一必填字段。 |
|
Resource |
用于按资源属性筛选策略的资源选择器。 |
| Selector |
选择器表达式。 |
|
Selector |
选择器类型。 |
|
system |
与资源的创建和上次修改相关的元数据。 |
|
User |
与策略关联的用户标识。 用户标识字典键引用将是 ARM 资源 ID,格式为:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 |
CloudError
来自策略操作的错误响应。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
错误响应 |
createdByType
创建资源的标识类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| Application |
string |
|
| Key |
string |
|
| ManagedIdentity |
string |
|
| User |
string |
enforcementMode
策略分配强制模式。 可能的值为 Default 和 DoNotEnforce。
| 名称 | 类型 | 说明 |
|---|---|---|
| Default |
string |
在创建或更新资源期间强制实施策略效果。 |
| DoNotEnforce |
string |
在资源创建或更新期间不会强制实施策略效果。 |
ErrorAdditionalInfo
资源管理错误附加信息。
| 名称 | 类型 | 说明 |
|---|---|---|
| info |
object |
其他信息。 |
| type |
string |
其他信息类型。 |
ErrorResponse
错误响应
| 名称 | 类型 | 说明 |
|---|---|---|
| additionalInfo |
错误附加信息。 |
|
| code |
string |
错误代码。 |
| details |
错误详细信息。 |
|
| message |
string |
错误消息。 |
| target |
string |
错误目标。 |
Identity
资源的标识。 策略分配最多支持一个标识。 这是系统分配的标识或单个用户分配的标识。
| 名称 | 类型 | 说明 |
|---|---|---|
| principalId |
string |
资源标识的主体 ID。 此属性仅针对系统分配的标识提供 |
| tenantId |
string |
资源标识的租户 ID。 此属性仅针对系统分配的标识提供 |
| type |
标识类型。 这是向资源添加系统或用户分配的标识时的唯一必填字段。 |
|
| userAssignedIdentities |
与策略关联的用户标识。 用户标识字典键引用将是 ARM 资源 ID,格式为:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。 |
NonComplianceMessage
描述资源不符合策略的原因的消息。 这显示在“拒绝”错误消息和资源不符合符合性结果中。
| 名称 | 类型 | 说明 |
|---|---|---|
| message |
string |
描述资源不符合策略的原因的消息。 这显示在“拒绝”错误消息和资源不符合符合性结果中。 |
| policyDefinitionReferenceId |
string |
消息要用于的策略集定义中的策略定义引用 ID。 仅当策略分配分配策略集定义时,这才适用。 如果未提供此项,则消息将应用于此策略分配分配的所有策略。 |
Override
策略属性值替代。
| 名称 | 类型 | 说明 |
|---|---|---|
| kind |
替代类型。 |
|
| selectors |
Selector[] |
选择器表达式的列表。 |
| value |
string |
要替代策略属性的值。 |
OverrideKind
替代类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| policyEffect |
string |
它将替代策略效果类型。 |
ParameterValuesValue
参数的值。
| 名称 | 类型 | 说明 |
|---|---|---|
| value |
object |
参数值。 |
PolicyAssignment
策略分配。
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| id |
string |
策略分配的 ID。 |
|
| identity |
与策略分配关联的托管标识。 |
||
| location |
string |
策略分配的位置。 仅在使用托管标识时才需要。 |
|
| name |
string |
策略分配的名称。 |
|
| properties.description |
string |
如果违反策略,此消息将成为响应的一部分。 |
|
| properties.displayName |
string |
策略分配的显示名称。 |
|
| properties.enforcementMode | Default |
策略分配强制模式。 可能的值为 Default 和 DoNotEnforce。 |
|
| properties.metadata |
object |
策略分配元数据。 元数据是一个开放式对象,通常是键值对的集合。 |
|
| properties.nonComplianceMessages |
描述资源不符合策略的原因的消息。 |
||
| properties.notScopes |
string[] |
策略的排除范围。 |
|
| properties.overrides |
Override[] |
策略属性值替代。 |
|
| properties.parameters |
<string,
Parameter |
分配的策略规则的参数值。 键是参数名称。 |
|
| properties.policyDefinitionId |
string |
要分配的策略定义或策略集定义的 ID。 |
|
| properties.resourceSelectors |
用于按资源属性筛选策略的资源选择器列表。 |
||
| properties.scope |
string |
策略分配的范围。 |
|
| systemData |
与此资源相关的系统元数据。 |
||
| type |
string |
策略分配的类型。 |
PolicyAssignmentListResult
策略分配列表。
| 名称 | 类型 | 说明 |
|---|---|---|
| nextLink |
string |
用于获取下一组结果的 URL。 |
| value |
策略分配的数组。 |
ResourceIdentityType
标识类型。 这是向资源添加系统或用户分配的标识时的唯一必填字段。
| 名称 | 类型 | 说明 |
|---|---|---|
| None |
string |
指示没有与资源关联的标识,或者应删除现有标识。 |
| SystemAssigned |
string |
指示系统分配的标识与资源相关联。 |
| UserAssigned |
string |
指示系统分配的标识与资源相关联。 |
ResourceSelector
用于按资源属性筛选策略的资源选择器。
| 名称 | 类型 | 说明 |
|---|---|---|
| name |
string |
资源选择器的名称。 |
| selectors |
Selector[] |
选择器表达式的列表。 |
Selector
选择器表达式。
| 名称 | 类型 | 说明 |
|---|---|---|
| in |
string[] |
要筛选的值的列表。 |
| kind |
选择器类型。 |
|
| notIn |
string[] |
要筛选出的值的列表。 |
SelectorKind
选择器类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| policyDefinitionReferenceId |
string |
用于按策略定义引用 ID 筛选策略的选择器类型。 |
| resourceLocation |
string |
用于按资源位置筛选策略的选择器类型。 |
| resourceType |
string |
用于按资源类型筛选策略的选择器类型。 |
| resourceWithoutLocation |
string |
按不带位置的资源筛选策略的选择器类型。 |
systemData
与资源的创建和上次修改相关的元数据。
| 名称 | 类型 | 说明 |
|---|---|---|
| createdAt |
string |
资源创建时间戳 (UTC) 。 |
| createdBy |
string |
创建资源的标识。 |
| createdByType |
创建资源的标识类型。 |
|
| lastModifiedAt |
string |
资源上次修改的时间戳 (UTC) |
| lastModifiedBy |
string |
上次修改资源的标识。 |
| lastModifiedByType |
上次修改资源的标识类型。 |
UserAssignedIdentities
与策略关联的用户标识。 用户标识字典键引用将是 ARM 资源 ID,格式为:“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}”。
| 名称 | 类型 | 说明 |
|---|---|---|
|
|