Azure 策略 - 拒绝 .net 中没有特定标记的新网络接口

Question

当 vnic 未连接到特定的 .net\su.nets（允许 .nets 具有特定标记）时，我很难创建一个策略来拒绝创建 .network 接口

看起来我可以限制基于.network 接口字段的创建。 在这种情况下，我想到的唯一想法是使用允许的 su.net id 列表配置一个参数，并根据此参数拒绝。 在这种情况下，我需要构建一个单独的机制来更新此策略定义（可能是一个 powershell 脚本）。

只是想问一下这是否是完成它的好方法并寻求建议，

谢谢罗布

Answer 1

有一种解决方法，即 azure 中的内置策略“需要在资源上添加标签”意味着在选定的资源组下，当您创建任何没有任何标签的资源时，它将失败。 在您的资源组中分配此策略。

我已将标签命名为“Rahul”而没有 Rahul 标签我将无法在资源组下创建任何资源

在这里，我重现并发现没有任何指定的标签我无法创建任何资源。

Answer 2

能够使用它完成它：

"policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Network/networkInterfaces"
        },
        {
          "count": {
            "field": "Microsoft.Network/networkInterfaces/ipconfigurations[*]",
            "where": {
              "value": "[substring(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),0,lastIndexOf(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),'/'))]",
              "notIn": "[parameters('subnetId')]"
            }
          },
          "greater": 0
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  },

我将使用 Set-AzPolicyAssignment 将参数与我的 vnet 结合起来以更新参数。

Answer 3

我创建了一个以 su.net 作为参数的策略，并将使用 Set-AzPolicyAssignment 更新策略分配参数中允许的 su.net 列表 – TheRob