Azure 原則模式:參數
您可以使用參數將原則定義設定為動態,以減少所需的原則定義數目。 參數會在原則指派期間進行定義。 參數具有一組預先定義的屬性,用於描述參數和其使用方式。
範例 1:字串參數
此原則定義會使用兩個參數 (tagName 和 tagValue) 來設定原則指派要在資源上尋找的內容。 此格式可讓原則定義用於任何數目的標記名稱和標記值組合,但只會維護單一原則定義。
注意
如需使用模式所有 並與資源群組搭配運作的標記範例,請參閱模式:標記 - 範例 #1。
{
"properties": {
"displayName": "Require tag and its value",
"policyType": "BuiltIn",
"mode": "Indexed",
"description": "Enforces a required tag and its value. Does not apply to resource groups.",
"parameters": {
"tagName": {
"type": "String",
"metadata": {
"description": "Name of the tag, such as costCenter"
}
},
"tagValue": {
"type": "String",
"metadata": {
"description": "Value of the tag, such as headquarter"
}
}
},
"policyRule": {
"if": {
"not": {
"field": "[concat('tags[', parameters('tagName'), ']')]",
"equals": "[parameters('tagValue')]"
}
},
"then": {
"effect": "deny"
}
}
}
}
範例 1:說明
"tagName": {
"type": "String",
"metadata": {
"description": "Name of the tag, such as costCenter"
}
},
在原則定義的這個部分中,tagName 參數會定義為「字串」,並提供描述供其使用。
然後,policyRule.if 區塊中會使用該參數讓原則變成動態的。 在這裡,參數會用來定義評估的欄位,也就是具有 tagName 值的標記。
"if": {
"not": {
"field": "[concat('tags[', parameters('tagName'), ']')]",
"equals": "[parameters('tagValue')]"
}
},
範例 2:陣列參數
此原則定義會使用單一參數 (listOfBandwidthinMbps) 來檢查 Express Route 線路資源是否已將頻寬設定設為其中一個已核准的值。 如果不相符,資源的建立或更新就會遭到拒絕。
{
"properties": {
"displayName": "Allowed Express Route bandwidth",
"description": "This policy enables you to specify a set of express route bandwidths that your organization can deploy.",
"parameters": {
"listOfBandwidthinMbps": {
"type": "Array",
"metadata": {
"description": "The list of SKUs that can be specified for express route.",
"displayName": "Allowed Bandwidth"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.Network/expressRouteCircuits"
},
{
"not": {
"field": "Microsoft.Network/expressRouteCircuits/serviceProvider.bandwidthInMbps",
"in": "[parameters('listOfBandwidthinMbps')]"
}
}
]
},
"then": {
"effect": "Deny"
}
}
}
}
範例 2:說明
"listOfBandwidthinMbps": {
"type": "Array",
"metadata": {
"description": "The list of SKUs that can be specified for express route.",
"displayName": "Allowed Bandwidth"
}
}
在原則定義的這個部分中,listOfBandwidthinMbps 參數會定義為「陣列」,並提供描述供其使用。 「陣列」會有許多個要比對的值。
然後,在 policyRule.if 區塊中使用該參數。 因為是「陣列」參數,您必須使用「陣列」條件的 in 或 notIn。 在這裡,該參數會針對 serviceProvider.bandwidthInMbps 別名,作為其中一個已定義的值。
"not": {
"field": "Microsoft.Network/expressRouteCircuits/serviceProvider.bandwidthInMbps",
"in": "[parameters('listOfBandwidthinMbps')]"
}
範例 3:參數化效果
讓原則定義可重複使用的常見方式是將效果本身參數化。 這個範例會使用單一參數,也就是效果。 將效果參數化可讓您將相同的定義指派給具有不同效果的不同範圍。
{
"properties": {
"displayName": "All authorization rules except RootManageSharedAccessKey should be removed from Service Bus namespace",
"policyType": "BuiltIn",
"mode": "All",
"description": "Service Bus clients should not use a namespace level access policy that provides access to all queues and topics in a namespace. To align with the least privilege security model, you should create access policies at the entity level for queues and topics to provide access to only the specific entity",
"metadata": {
"version": "1.0.1",
"category": "Service Bus"
},
"parameters": {
"effect": {
"type": "string",
"defaultValue": "Audit",
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
}
}
},
"policyRule": {
"if": {
"allOf": [{
"field": "type",
"equals": "Microsoft.ServiceBus/namespaces/authorizationRules"
},
{
"field": "name",
"notEquals": "RootManageSharedAccessKey"
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
}
}
範例 3:說明
"parameters": {
"effect": {
"type": "string",
"defaultValue": "Audit",
"allowedValues": [
"Audit",
"Deny",
"Disabled"
],
"metadata": {
"displayName": "Effect",
"description": "The effect determines what happens when the policy rule is evaluated to match"
}
}
},
在原則定義的這個部分中,效果參數定義為字串。 原則定義會將指派的預設值設定為「稽核」,並將其他選項限制為「停用」和「拒絕」。
然後,在 policyRule.then 區塊中針對「效果」使用該參數。
"then": {
"effect": "[parameters('effect')]"
}
下一步
- 檢閱其他模式和內建定義。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。