如何创建验证资源组名称的 Azure 策略

Question

我正在尝试创建一个可以在订阅级别分配的 Azure 策略，并控制订阅中资源组的命名。

策略需要针对资源类型或以其他方式限制其应用，否则它们将全局应用于所有资源。

我可以使用什么资源类型（或其他方法）将我的验证限制为仅限于资源组名称？

这是我正在尝试的：

$definition = New-AzureRmPolicyDefinition -Name resourceGroupNamePatterns 
   -Description "Restrict resource group names to allowed prefixes only" -Policy '{
    "if": {
        "allOf": [
          {
            "not": {
              "field": "name",
              "like": "Pattern1-*"
            }
          },
          {
            "not": {
              "field": "name",
              "like": "Pattern2-*"
            }
          },
          {
            "field": "type",
            "equals": "Microsoft.Resources/subscriptions/resourcegroups"
          }
        ]
    },
    "then": {
        "effect": "deny"
    }
}'

Answer 1

不确定这个问题是否仍然相关，但在发布时 Azure Policy 不支持对资源组进行评估。

问题中提供的政策定义是正确的。

请尝试更新您的 powershell 版本，并更新策略定义。它将默认为mode: all，这反过来将启用对资源组的策略评估。

关于策略模式的文档：https://docs.microsoft.com/en-us/azure/azure-policy/policy-definition

模式

模式决定了将针对策略评估哪些资源类型。支持的模式有：

• 全部：评估资源组和所有资源类型
• 索引：仅评估支持标签和位置的资源类型

我们建议您将模式设置为全部。通过门户创建的所有策略定义都使用 all 模式。如果使用 PowerShell 或 Azure CLI，则需要指定 mode 参数并将其设置为 all。

Answer 2

资源组为Microsoft.Resources/subscriptions/resourcegroups 类型。您可以从资源提供者的操作中推断出这一点：

Get-AzureRmProviderOperation 'Microsoft.Resources/*'