Padrão do Azure Policy: efeitos
O Azure Policy tem vários efeitos que determinam como o serviço reage a recursos que não estão em conformidade. Alguns efeitos são simples e não requerem propriedades adicionais na definição de política, enquanto outros exigem várias propriedades.
Exemplo 1: Efeito simples
Esta definição de política verifica se a marca definida no parâmetro tagName existe no recurso avaliado. Se a marca ainda não existir, o efeito modify será acionado para adicionar a marca com o valor no parâmetro tagValue.
{
"properties": {
"displayName": "Add a tag to resource groups",
"policyType": "BuiltIn",
"mode": "All",
"description": "Adds the specified tag and value when any resource group missing this tag is created or updated. Existing resource groups can be remediated by triggering a remediation task. If the tag exists with a different value it will not be changed.",
"metadata": {
"version": "1.0.0",
"category": "Tags"
},
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"displayName": "Tag Name",
"description": "Name of the tag, such as 'environment'"
}
},
"tagValue": {
"type": "String",
"metadata": {
"displayName": "Tag Value",
"description": "Value of the tag, such as 'production'"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Resources/subscriptions/resourceGroups"
},
{
"field": "[concat('tags[', parameters('tagName'), ']')]",
"exists": "false"
}
]
},
"then": {
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
}
}
}
}
Exemplo 1: Explicação
"effect": "modify",
"details": {
"roleDefinitionIds": [
"/providers/microsoft.authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"operations": [{
"operation": "add",
"field": "[concat('tags[', parameters('tagName'), ']')]",
"value": "[parameters('tagValue')]"
}]
}
Um efeito modify requer o bloco policyRule.then.details que define roleDefinitionIds e operations. Esses parâmetros informam ao Azure Policy quais funções são necessárias para adicionar a marca e corrigir o recurso e qual operação modify usar. Neste exemplo, a operação add e os parâmetros são usados para definir a marca e o valor dela.
Exemplo 2: Efeito complexo
Essa definição de política audita cada máquina virtual para saber quando não existe uma extensão, definida nos parâmetros editor e tipo. Ela usa auditIfNotExists para verificar um recurso relacionado à máquina virtual e verificar se há uma instância correspondente aos parâmetros definidos. Este exemplo verifica o tipo de extensão.
{
"type": "Microsoft.Authorization/policyDefinitions",
"name": "audit-vm-extension",
"properties": {
"displayName": "Audit if extension does not exist",
"description": "This policy audits if a required extension doesn't exist.",
"parameters": {
"publisher": {
"type": "String",
"metadata": {
"description": "The publisher of the extension",
"displayName": "Extension Publisher"
}
},
"type": {
"type": "String",
"metadata": {
"description": "The type of the extension",
"displayName": "Extension Type"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Compute/virtualMachines"
},
{
"field": "Microsoft.Compute/imagePublisher",
"in": [
"MicrosoftWindowsServer"
]
},
{
"field": "Microsoft.Compute/imageOffer",
"in": [
"WindowsServer"
]
}
]
},
"then": {
"effect": "auditIfNotExists",
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
}
}
}
}
Exemplo 2: Explicação
"details": {
"type": "Microsoft.Compute/virtualMachines/extensions",
"existenceCondition": {
"allOf": [{
"field": "Microsoft.Compute/virtualMachines/extensions/publisher",
"equals": "[parameters('publisher')]"
},
{
"field": "Microsoft.Compute/virtualMachines/extensions/type",
"equals": "[parameters('type')]"
}
]
}
}
Um efeito auditIfNotExists requer que o bloco policyRule.then.details defina um tipo e existenceCondition para procurar. A existenceCondition usa elementos de linguagem da política, como operadores lógicos, para determinar se há um recurso relacionado correspondente. Neste exemplo, os valores verificados em cada alias são definidos em parâmetros.
Próximas etapas
- Revise outros padrões e definições internas.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.