Azure Policy 示例

下表包含 Azure Policy 的示例链接。 这些示例也位于 Azure Policy 示例存储库

常规

命名

允许多种名称模式 允许资源使用多种名称模式中的一种。
需要类似模式 确保资源名称符合模式的类似条件。
需要匹配模式 确保资源名称与命名模式匹配。
需要标记匹配模式 确保标记值与文本模式匹配。

标记

应用标记及其默认值 如果未提供标记,追加指定的标记名称和值。 由你指定要应用的标记名称和值。
计费标记策略计划 要求成本中心和产品名称有指定的标记值。 使用内置策略来应用并强制执行所需标记。 指定所需的标记值。
强制实施标记和值 需要指定的标记名称和值。 指定要强制实施的标记名称和值。
在资源组强制执行标记及其值 要求资源组有标记和值。 由你指定标记名称和值。

位置

允许的位置 要求所有资源都部署到批准的位置。 由你指定一个已批准的位置的数组。

资源类型

允许的资源类型 确保仅部署已批准的资源类型。 指定一个允许的资源类型的数组。
不允许的资源类型 禁止部署指定的资源类型。 指定一个阻止使用的资源类型的数组。

计算

虚拟机

允许自定义资源组中的 VM 映像 要求自定义映像来自已批准的资源组。 指定已批准的资源组的名称。
允许的存储帐户和虚拟网络的 SKU 要求存储帐户和虚拟机使用已批准的 SKU。 使用内置策略以确保使用已批准的 SKU。 指定已批准的虚拟机 SKU 数组和已批准的存储帐户 SKU 数组。
已批准的 VM 映像 要求在环境中仅部署已批准的自定义映像。 指定已批准的映像 ID 的数组。
如果扩展不存在,则进行审核 如果扩展不是通过虚拟机部署的,则进行审核。 指定扩展发布者和类型以检查是否已部署扩展。
不允许使用 VM 扩展 禁止使用指定的扩展。 指定一个数组,其中包含被禁止的扩展类型。

虚拟机规模集

在 VM 未使用托管磁盘时审核 如果创建了未使用托管磁盘的虚拟机,则进行审核。
使用托管磁盘创建 VM 要求虚拟机使用托管磁盘。
拒绝混合使用权益 禁止使用 Azure 混合使用权益 (AHUB)。 在想禁止使用本地许可证时使用。
只允许特定 VM 平台映像 要求虚拟机使用 UbuntuServer 的特定版本。

Data Lake Storage

强制执行 Data Lake Storage Gen1 加密 拒绝任何未启用加密的 Data Lake Storage Gen1 帐户。

监视

审核诊断设置 如果未对指定资源类型启用诊断设置,则进行审核。 指定一个资源类型的数组以检查是否已启用诊断设置。

网络

网络接口

每个 NIC 上的 NSG X 要求将特定网络安全组用于所有虚拟网络接口。 指定要使用的网络安全组的 ID。
对 VM 网络接口使用已批准的子网 要求网络接口使用已批准的子网。 指定已批准的子网的 ID。
对 VM 网络接口使用已批准的 vNet 要求网络接口使用已批准的虚拟网络。 由你指定已批准的虚拟网络的 ID。

虚拟网络

允许的应用程序网关 SKU 要求应用程序网关使用已批准的 SKU。 指定一个已批准的 SKU 的数组。
允许的 vNet 网关 SKU 要求虚拟网关使用已批准的 SKU。 指定一个已批准的 SKU 的数组。
允许的负载均衡器 SKU 要求虚拟网络负载均衡器使用已批准的 SKU。 指定一个已批准的 SKU 的数组。
没有与 Express Route 网络的网络对等互连 禁止将网络对等关联到指定资源组中的网络。 用于防止与中心托管的网络基础结构连接。 指定要防止关联的资源组的名称。
无用户定义的路由表 禁止通过用户定义的路由表部署虚拟网络。
每个子网上的 NSG X 要求将特定网络安全组用于所有子网。 指定要使用的网络安全组的 ID。
对 VM 网络接口使用已批准的子网 要求网络接口使用已批准的子网。 指定已批准的子网的 ID。
对 VM 网络接口使用已批准的 vNet 要求网络接口使用已批准的虚拟网络。 由你指定已批准的虚拟网络的 ID。

网络安全组

每个 NIC 上的 NSG X 要求将特定网络安全组用于所有虚拟网络接口。 指定要使用的网络安全组的 ID。
每个子网上的 NSG X 要求将特定网络安全组用于所有子网。 指定要使用的网络安全组的 ID。

Express Route

允许的 Express Route 带宽 要求 Express Route 使用一组指定的带宽。 指定可为 Express Route 指定的 SKU 数组。
允许的 Express Route SKU 要求 Express Route 使用已批准的 SKU。 指定允许的 SKU 的数组。
允许的 Express Route 对等位置 要求 Express Route 使用指定的对等位置。 指定一个允许的对等位置的数组。

网络观察程序

如果未对区域启用网络观察程序,则进行审核 如果未对指定区域启用网络观察程序,则进行审核。 指定区域的名称以检查是否启用了网络观察程序。

应用程序网关

允许的应用程序网关 SKU 要求应用程序网关使用已批准的 SKU。 指定一个已批准的 SKU 的数组。

SQL

SQL Server

无 Azure Active Directory 管理员时审核 SQL 服务器未分配有任何 Azure Active Directory 管理员时进行审核。
审核服务器级别的威胁检测设置 如果 SQL 数据库安全警报策略未设置成指定状态,则审核这些策略。 指定一个值,该值指示威胁检测是启用还是禁用状态。
审核 SQL Server 审核设置 基于是否启用了审核设置审核 SQL Server。
审核 SQL Server 级别审核设置 如果 SQL 服务器审核设置不匹配指定的设置,则审核这些设置。 指定用于指示应启用或禁用审核设置的值。
需要 SQL Server 版本 12.0 要求 SQL 服务器使用版本 12.0。

SQL 数据库

允许的 SQL DB SKU 要求 SQL 数据库使用已批准的 SKU。 指定一个允许的 SKU ID 的数组或允许的 SKU 名称的数组。
审核 DB 级别的威胁检测设置 如果 SQL 数据库安全警报策略未设置成指定状态,则审核这些策略。 指定一个值,该值指示威胁检测是启用还是禁用状态。
审核 SQL 数据库加密 如果 SQL 数据库未启用透明数据加密,则会进行审核。
审核 SQL DB 级别审核设置 如果 SQL 数据库审核设置不匹配指定设置,则审核这些设置。 指定用于指示应启用或禁用审核设置的值。

存储

允许的存储帐户和虚拟网络的 SKU 要求存储帐户和虚拟机使用已批准的 SKU。 使用内置策略以确保使用已批准的 SKU。 指定已批准的虚拟机 SKU 数组和已批准的存储帐户 SKU 数组。
允许的存储帐户 SKU 要求存储帐户使用批准的 SKU。 指定一个已批准的 SKU 的数组。
拒绝存储帐户的冷访问层 禁止为 blob 存储帐户使用冷访问层。
确保 https 流量仅限于存储帐户 要求存储帐户使用 HTTPS 流量。
确保存储文件加密 要求对存储帐户启用文件加密。
需要存储帐户加密 要求存储帐户使用 blob 加密。

后续步骤