我有一个Azure策略,该策略通过2个分配来验证2个资源组的区域。允许的区域是美国中南部和全球。我的问题是,每个资源组中都存在违反策略的情况,我似乎无法摆脱它。例如,在一个资源组中,违反策略的资源是工作分配本身,我无法更改其区域(或我不知道如何更改),并且在排除项中我无法将其视为可排除的资源清单。对于第二资源组,失败的项目是许多SQL数据库管理的实例漏洞评估和许多安全评估。关于这些有趣的部分,当我尝试查看Azure无法找到的资源时,仅返回“找不到资源”,因此毫不奇怪我也不能排除它们。因此,现在看来,我似乎受困于无法实现100%遵从性的“策略”和“ 2个分配”,我希望有人可以提供解决问题的技巧。也许是一种排除资源类型而不是按名称排除的方法,但是我愿意接受任何想法。谢谢。
答案 0 :(得分:0)
在浏览预先设定的政策时找到了答案。您可以按照以下方式对policyRule.if部分中的type字段进行限制。只需指定应排除的类型即可。
"policyRule": {
"if": {
"allOf": [
{
"field": "location",
"notIn": "[parameters('listOfAllowedLocations')]"
},
{
"field": "location",
"notEquals": "global"
},
{
"field": "type",
"notEquals": "Microsoft.AzureActiveDirectory/b2cDirectories"
}
]
},
答案 1 :(得分:0)
在策略中添加类型限制会有所帮助,但是您需要维护排除资源类型的列表。
如果将策略的mode更改为Indexed,则策略将仅评估实际上具有location字段的资源。