Я пытаюсь управлять политиками на уровне управления в Azure. Я нашел шаблон, который создает группу управления, устанавливает политику и назначает политику группе управления. Проблема в том, что когда я создал с ним группу управления, я не смог уничтожить с помощью "terraform destroy". Итак, теперь я хочу написать код, который ссылается на существующую группу управления и устанавливает новые политики и назначения.
Это код, который я нашел.
data "azurerm_client_config" "config" {}
data "azurerm_subscrition" "sub" {}
resource "azurerm_management_group" "group1" {
name = "MyManagementGroup"
subscription_ids = [
"00000000-0000-0000-0000-000000000000",
"11111111-1111-1111-1111-111111111111",
"22222222-2222-2222-2222-222222222222",
]
}
resource "azurerm_role_definition" "roledefinition1" {
role_definition_id = "00000000-0000-0000-0000-000000000000"
name = "Role Definition"
scope = "${azurerm_management_group.group1.id}"
description = "Custom role"
permissions {
actions = ["*"]
not_actions = []
}
assignable_scopes = [
"${data.azurerm_subscription.sub.id}",
]
}
resource "azurerm_role_assignment" "roleassignment1" {
scope = "${azurerm_management_group.group1.id}"
role_definition_name = "${azurerm_role_definition.roledefinition1.name}"
principal_id = "${data.azurerm_client_config.config.service_principal_object_id}"
}
resource "azurerm_policy_definition" "policy" {
name = "TestPolicy"
policy_type = "Custom"
display_name = "Test policy definition"
scope = "${azurerm_management_group.group1.id}"
policy_rule = <<POLICY_RULE
{
"if": {
"true"
},
"then": {
"effect": "audit"
}
}
POLICY_RULE
}
resource "azurerm_policy_assignment" "test" {
name = "example-policy-assignment"
scope = "${azurerm_management_group.group1.id}"
policy_definition_id = "${azurerm_policy_definition.policy.id}"
description = "Policy Assignment"
display_name = "Test Policy Assignment"