Azure Назначение политики - исключить типы ресурсов

Question

У меня есть политика Azure, которая проверяет область 2 групп ресурсов с помощью 2 назначений. Разрешенными регионами являются юг центральной части США и глобальный. Моя проблема в том, что в каждой группе ресурсов есть нарушения политики, от которых я не могу избавиться. Например, в одной группе ресурсов ресурс, который нарушает политику, - это само Назначение, для которого я не могу изменить Регион (или я не знаю, как), и я не вижу его в качестве исключаемого ресурса в Исключениях. список. Для 2-й группы ресурсов ошибочными элементами являются ряд оценок уязвимости управляемого экземпляра базы данных SQL и ряд оценок безопасности; интересная часть об этом, когда я пытаюсь просмотреть ресурсы Azure, не могу их найти, просто возвращает «Ресурс не найден», поэтому неудивительно, что я тоже не могу исключить их. Так что сейчас я, кажется, застрял с политикой и двумя заданиями, которые не могут обеспечить 100% соответствия, и я надеюсь, что кто-то может предложить советы по решению. Возможно, способ исключить тип ресурса вместо имени, но я открыт для любых идей. Спасибо.

Answer 1

Добавление ограничения типа к вашей политике поможет, но вам нужно будет вести список исключенных типов ресурсов.

Если вы измените режим вашей политики на Indexed тогда ваша политика будет оценивать только те ресурсы, которые действительно имеют поле location.

Answer 2

Нашел ответ при копании в предварительно настроенных политиках. Вы можете наложить ограничение на поле типа в разделе policyRule.if, как показано ниже. Просто нужно указать типы, которые должны быть исключены.

"policyRule": {
  "if": {
    "allOf": [
      {
        "field": "location",
        "notIn": "[parameters('listOfAllowedLocations')]"
      },
      {
        "field": "location",
        "notEquals": "global"
      },
      {
        "field": "type",
        "notEquals": "Microsoft.AzureActiveDirectory/b2cDirectories"
      }
    ]
  },