Azure 策略 - 拒绝使用特定标签创建资源
Azure policy - deny resource creation with specific tag
有一种方法可以在没有特定标签的情况下拒绝任何类型的资源创建。
例如,我无法创建没有标签“环境”的存储帐户,但我不想在策略中指定标签“环境”的值。
而且我不会创建资源存储,标签“环境”为空。
有一种方法可以在没有以下情况的情况下拒绝所有资源:
“环境”:“*”
如果标签环境为空或缺失,预期结果是一条拒绝消息
感谢建议
处理标记 IMO 的最佳方法是在创建资源组时强制执行一组特定的标记,然后将其与资源上的“从资源组继承标记和值”配对。这样,在创建资源组时,您可以拒绝创建,除非为“环境”设置了定义的值,然后在该资源组内创建的任何资源都将继承该标签和值。
如果您查看 Azure Policy 中的策略定义并搜索“标记”,您将看到几个用于实施和审核资源标记的选项。
您可以创建如下策略
{
"mode": "All",
"policyRule": {
"if": {
"anyOf": [
{
"field": "tags['environment']",
"exists": "false"
},
{
"field": "tags['environment']",
"equals": ""
}
]
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}
有一种方法可以在没有特定标签的情况下拒绝任何类型的资源创建。 例如,我无法创建没有标签“环境”的存储帐户,但我不想在策略中指定标签“环境”的值。 而且我不会创建资源存储,标签“环境”为空。
有一种方法可以在没有以下情况的情况下拒绝所有资源: “环境”:“*”
如果标签环境为空或缺失,预期结果是一条拒绝消息
感谢建议
处理标记 IMO 的最佳方法是在创建资源组时强制执行一组特定的标记,然后将其与资源上的“从资源组继承标记和值”配对。这样,在创建资源组时,您可以拒绝创建,除非为“环境”设置了定义的值,然后在该资源组内创建的任何资源都将继承该标签和值。
如果您查看 Azure Policy 中的策略定义并搜索“标记”,您将看到几个用于实施和审核资源标记的选项。
您可以创建如下策略
{
"mode": "All",
"policyRule": {
"if": {
"anyOf": [
{
"field": "tags['environment']",
"exists": "false"
},
{
"field": "tags['environment']",
"equals": ""
}
]
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}