Как применить блокировки ресурсов Azure к группам ресурсов с помощью политики - PullRequest
Новая
       71

Как применить блокировки ресурсов Azure к группам ресурсов с помощью политики

0 голосов
/ 26 февраля 2019

Я пытаюсь создать политику Azure, которая будет развертывать блокировку ресурса с уровнем CanNotDelete для групп ресурсов в подписке.

В настоящее время политика соответствует требованиям на 100%, но блокировок не былосоздан политикой.

В моем файле JSON policy.rules есть следующее: 

   
{
   "if": {
      "field": "type",
      "equals": "Microsoft.Resources/resourceGroups"
   },
   "then": {
      "effect": "deployIfNotExists",
      "details": {
            "type": "Microsoft.Authorization/locks",
            "existenceCondition": {
               "field": "Microsoft.Authorization/locks/level",
               "equals": "CanNotDelete"
         },
         "roleDefinitionIds": [
            "/providers/Microsoft.Authorization/roleDefinitions/0000-0000-0000-0000-0000000"
],
      "deployment": {
         "properties": {
            "mode": "incremental",
            "template": {
               "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
               "contentVersion": "1.0.0.0",
               "parameters": {
                  "location": {
                     "type": "string"
                  }
               },
               "resources": [
                  {
                     "type": "Microsoft.Authorization/locks",
                     "apiVersion": "2017-04-01",
                     "name": "ResourceLock",
                     "properties": {
                       "level": "CanNotDelete",
                       "notes": "Prevent accidental deletion of resource groups"
                     }
                  }
               ]
            }
         }
      }
   }
}
}

1 Ответ

0 голосов
/ 04 марта 2019

удалось заставить это работать с двумя изменениями;

  1. путь оператора if - Microsoft.Resources / subscription / resourceGroups
  2. Управляемый идентификатор по какой-то причине не создавался,это требуется для эффекта политики deployIfNotExists.

Надеюсь, это поможет всем, кто сталкивается с той же проблемой

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...