Azure 策略 - 拒絕 .net 中沒有特定標記的新網絡接口

Question

當 vnic 未連接到特定的 .net\su.nets（允許 .nets 具有特定標記）時，我很難創建一個策略來拒絕創建 .network 接口

看起來我可以限制基於.network 接口字段的創建。 在這種情況下，我想到的唯一想法是使用允許的 su.net id 列表配置一個參數，並根據此參數拒絕。 在這種情況下，我需要構建一個單獨的機制來更新此策略定義（可能是一個 powershell 腳本）。

只是想問一下這是否是完成它的好方法並尋求建議，

謝謝羅布

Answer 1

有一種解決方法，即 azure 中的內置策略“需要在資源上添加標簽”意味着在選定的資源組下，當您創建任何沒有任何標簽的資源時，它將失敗。 在您的資源組中分配此策略。

我已將標簽命名為“Rahul”而沒有 Rahul 標簽我將無法在資源組下創建任何資源

在這里，我重現並發現沒有任何指定的標簽我無法創建任何資源。

Answer 2

能夠使用它完成它：

"policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Network/networkInterfaces"
        },
        {
          "count": {
            "field": "Microsoft.Network/networkInterfaces/ipconfigurations[*]",
            "where": {
              "value": "[substring(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),0,lastIndexOf(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),'/'))]",
              "notIn": "[parameters('subnetId')]"
            }
          },
          "greater": 0
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  },

我將使用 Set-AzPolicyAssignment 將參數與我的 vnet 結合起來以更新參數。

Answer 3

我創建了一個以 su.net 作為參數的策略，並將使用 Set-AzPolicyAssignment 更新策略分配參數中允許的 su.net 列表 – TheRob