创建 Azure 策略阻止直接从订阅访问 Internet
[英]Creating an Azure Policy preventing internet access directly from subscription
问题描述
我想创建一个 Azure 订阅,其中无法创建可以直接访问 Internet 而需要路由回本地设备的资源。
我创建了以下策略并将其应用于订阅
{
"if": {
"anyOf": [
{
"source": "action",
"like": "Microsoft.Network/publicIPAddresses/*"
}
]
},
"then": {
"effect": "deny"
}
但是,看起来仍然可以访问互联网。 我们是否需要为所有子网创建自定义 UDR 以将所有 0.0.0.0/0 流量路由回本地?
顺便说一句,在 AWS 中创建类似的 SCP 相当简单: https : //docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_5
2 个解决方案
解决方案1
0 2019-12-13 18:48:10
策略基于别名工作,因此您必须寻找有效的别名。 Microsoft.Network/publicIDaddress不是一个。 有关如何获取别名的信息,请参见此处。
如果您正在寻找应用程序网关,则别名为Microsoft.Network/applicationGateways/frontendIPConfigurations[*].publicIPAddress
解决方案2
0 2021-11-05 17:15:39
我有同样的问题,我解决如下:
{
"policyType": "Custom",
"mode": "All",
"displayName": "check_default_route_gateway_plus_default",
"policyRule": {
"if": {
"count": {
"field": "Microsoft.Network/routeTables/routes[*]",
"where": {
"allOf": [
{
"field": "Microsoft.Network/routeTables/routes[*].nextHopIpAddress",
"equals": "[parameters('DefaultGW')]"
},
{
"field": "Microsoft.Network/routeTables/routes[*].name",
"equals": "DEFAULT"
},
{
"field": "Microsoft.Network/routeTables/routes[*].addressPrefix",
"equals": "0.0.0.0/0"
}
]
}
},
"notEquals": 1
},
"then": {
"effect": "deny"
}
},
"parameters": {
"DefaultGW": {
"type": "String",
"metadata": {
"displayName": "Default Gateway IP",
"description": "The default Gateway IP. It correspond to the Proxy IP"
},
"defaultValue": "PUT_HERE_THE_IP_OF_YOUR_APPLIANCE"
}
}
}
此策略将失败,因为没有名为DEFAULT的默认路由,其中 addressPrefix 0.0.0.0/0指向您的设备。
我花了一些时间才明白这一点,因为逻辑与我的预期行为相反。 该策略在其表达式被评估为true时触发,而我认为它会触发然后评估为false 。
实现它的一大帮助来自 VSCode 插件Azure Policy ,您可以在其中交互式测试您的策略,而无需等待云延迟。
https://docs.microsoft.com/en-us/azure/governance/policy/concepts/definition-structure也可用于查看所有策略结构。
我正在尝试创建服务控制策略以阻止用户创建具有公共 WRITE 访问权限的 S3 存储桶,但它不起作用
[英]I'm trying to create service control policy to block users from creating S3 buckets with public WRITE access, but it's not working
通过 Cloudformation 创建 SQS 队列及其访问策略时出错
[英]Error in creating SQS Queue and its access policy through Cloudformation
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.