我想创建一个Azure订阅,其中无法创建可以直接访问Internet的资源,而是需要将其路由回本地设备。
我已创建以下政策并将其应用于订阅
{
"if": {
"anyOf": [
{
"source": "action",
"like": "Microsoft.Network/publicIPAddresses/*"
}
]
},
"then": {
"effect": "deny"
}
但是,看起来仍然可以访问互联网。我们是否需要为所有子网创建自定义UDR,以将所有0.0.0.0/0流量路由回本地?
顺便说一句,在AWS中创建类似的SCP非常简单: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_5
答案 0 :(得分:0)
策略基于别名工作,因此您必须寻找有效的别名。 Microsoft.Network/publicIDaddress不是一个。有关如何获取别名的信息,请参见here。
如果要查找应用程序网关,别名为Microsoft.Network/applicationGateways/frontendIPConfigurations[*].publicIPAddress