Azure Policy 示例Azure Policy Samples

下表包含 Azure Policy 的示例链接。The following table includes links to samples for Azure Policy. 这些示例也位于 Azure Policy 示例存储库These samples are also found in the Azure Policy samples repository.

常规General

命名Naming

允许多种名称模式Allow multiple name patterns 允许资源使用多种名称模式中的一种。Allow one of many name patterns to be used for resources.
需要类似模式Require like pattern 确保资源名称符合模式的类似条件。Ensure resource names meet the like condition for a pattern.
需要匹配模式Require match pattern 确保资源名称与命名模式匹配。Ensure resource names match the naming pattern.
需要标记匹配模式Require tag match pattern 确保标记值与文本模式匹配。Ensure that a tag value matches a text pattern.

标记Tags

应用标记及其默认值Apply tag and its default value 如果未提供标记,追加指定的标记名称和值。Appends a specified tag name and value, if that tag is not provided. 由你指定要应用的标记名称和值。You specify the tag name and value to apply.
计费标记策略计划Billing Tags Policy Initiative 要求成本中心和产品名称有指定的标记值。Requires specified tag values for cost center and product name. 使用内置策略来应用并强制执行所需标记。Uses built-in policies to apply and enforce required tags. 指定所需的标记值。You specify the required values for the tags.
强制实施标记和值Enforce tag and its value 需要指定的标记名称和值。Requires a specified tag name and value. 指定要强制实施的标记名称和值。You specify the tag name and value to enforce.
在资源组强制执行标记及其值Enforce tag and its value on resource groups 要求资源组有标记和值。Requires a tag and value on a resource group. 由你指定标记名称和值。You specify the required tag name and value.

位置Locations

允许的位置Allowed locations 要求所有资源都部署到批准的位置。Requires that all resources are deployed to the approved locations. 由你指定一个已批准的位置的数组。You specify an array of approved locations.

资源类型Resource Types

允许的资源类型Allowed resource types 确保仅部署已批准的资源类型。Ensures only approved resource types are deployed. 指定一个允许的资源类型的数组。You specify an array of resource types that are permitted.
不允许的资源类型Not allowed resource types 禁止部署指定的资源类型。Prohibits the deployment of specified resource types. 指定一个阻止使用的资源类型的数组。You specify an array of the resource types to block.

计算Compute

虚拟机Virtual Machines

允许自定义资源组中的 VM 映像Allow custom VM image from a Resource Group 要求自定义映像来自已批准的资源组。Requires that custom images come from an approved resource group. 指定已批准的资源组的名称。You specify the name of the approved resource group.
允许的存储帐户和虚拟网络的 SKUAllowed SKUs for Storage Accounts and Virtual Machines 要求存储帐户和虚拟机使用已批准的 SKU。Requires that storage accounts and virtual machines use approved SKUs. 使用内置策略以确保使用已批准的 SKU。Uses built-in policies to ensure approved SKUs. 指定已批准的虚拟机 SKU 数组和已批准的存储帐户 SKU 数组。You specify an array of approved virtual machines SKUs, and an array of approved storage account SKUs.
已批准的 VM 映像Approved VM images 要求在环境中仅部署已批准的自定义映像。Requires that only approved custom images are deployed in your environment. 指定已批准的映像 ID 的数组。You specify an array of approved image IDs.
如果扩展不存在,则进行审核Audit if extension does not exist 如果扩展不是通过虚拟机部署的,则进行审核。Audits if an extension is not deployed with a virtual machine. 指定扩展发布者和类型以检查是否已部署扩展。You specify the extension publisher and type to check whether it was deployed.
不允许使用 VM 扩展Not allowed VM Extensions 禁止使用指定的扩展。Prohibits the use of specified extensions. 指定一个数组,其中包含被禁止的扩展类型。You specify an array containing the prohibited extension types.

虚拟机规模集Virtual Machine Scale Sets

在 VM 未使用托管磁盘时审核Audit when VM does not use Managed Disk 如果创建了未使用托管磁盘的虚拟机,则进行审核。Audits when a virtual machine is created that does not use managed disks.
使用托管磁盘创建 VMCreate VM using Managed Disk 要求虚拟机使用托管磁盘。Requires that virtual machines use managed disks.
拒绝混合使用权益Deny hybrid use benefit 禁止使用 Azure 混合使用权益 (AHUB)。Prohibits use of Azure Hybrid Use Benefit (AHUB). 在想禁止使用本地许可证时使用。Use when you do not want to permit use of on-premises licenses.
只允许特定 VM 平台映像Only allow a certain VM platform image 要求虚拟机使用 UbuntuServer 的特定版本。Requires that virtual machines use a specific version of UbuntuServer.

Data Lake StorageData Lake Storage

强制执行 Data Lake Storage Gen1 加密Enforce Data Lake Storage Gen1 encryption 拒绝任何未启用加密的 Data Lake Storage Gen1 帐户。Denies any Data Lake Storage Gen1 accounts that don't have encryption enabled.

密钥保管库Key Vault

审核保管库是否没有虚拟网络终结点Audit vaults for no virtual network endpoints 审核 Key Vault 保管库以检测出没有虚拟网络服务终结点的实例。Audits Key Vault vaults to detect instances that have no virtual network service endpoints.

监视Monitoring

审核诊断设置Audit diagnostic setting 如果未对指定资源类型启用诊断设置,则进行审核。Audits if diagnostic settings not enabled for specified resource types. 指定一个资源类型的数组以检查是否已启用诊断设置。You specify an array of resource types to check whether diagnostic settings are enabled.

网络Network

网络接口Network Interfaces

每个 NIC 上的 NSG XNSG X on every NIC 要求将特定网络安全组用于所有虚拟网络接口。Requires that a specific network security group is used with every virtual network interface. 指定要使用的网络安全组的 ID。You specify the ID of the network security group to use.
对 VM 网络接口使用已批准的子网Use approved subnet for VM network interfaces 要求网络接口使用已批准的子网。Requires that network interfaces use an approved subnet. 指定已批准的子网的 ID。You specify the ID of the approved subnet.
对 VM 网络接口使用已批准的 vNetUse approved vNet for VM network interfaces 要求网络接口使用已批准的虚拟网络。Requires that network interfaces use an approved virtual network. 由你指定已批准的虚拟网络的 ID。You specify the ID of the approved virtual network.

虚拟网络Virtual Networks

允许的应用程序网关 SKUAllowed Application Gateway SKUs 要求应用程序网关使用已批准的 SKU。Requires that application gateways use an approved SKU. 指定一个已批准的 SKU 的数组。You specify an array of approved SKUs.
允许的 vNet 网关 SKUAllowed vNet Gateway SKUs 要求虚拟网关使用已批准的 SKU。Requires that virtual network gateways use an approved SKU. 指定一个已批准的 SKU 的数组。You specify an array of approved SKUs.
允许的负载均衡器 SKUAllowed Load Balancer SKUs 要求虚拟网络负载均衡器使用已批准的 SKU。Requires that virtual network load balancers use an approved SKU. 指定一个已批准的 SKU 的数组。You specify an array of approved SKUs.
没有与 Express Route 网络的网络对等互连No network peering to Express Route network 禁止将网络对等关联到指定资源组中的网络。Prohibits a network peering from being associated to a network in a specified resource group. 用于防止与中心托管的网络基础结构连接。Use to prevent connection with central managed network infrastructure. 指定要防止关联的资源组的名称。You specify the name of the resource group to prevent association.
无用户定义的路由表No User Defined Route Table 禁止通过用户定义的路由表部署虚拟网络。Prohibits virtual networks from being deployed with a user-defined route table.
每个子网上的 NSG XNSG X on every subnet 要求将特定网络安全组用于所有子网。Requires that a specific network security group is used with every virtual subnet. 指定要使用的网络安全组的 ID。You specify the ID of the network security group to use.
对 VM 网络接口使用已批准的子网Use approved subnet for VM network interfaces 要求网络接口使用已批准的子网。Requires that network interfaces use an approved subnet. 指定已批准的子网的 ID。You specify the ID of the approved subnet.
对 VM 网络接口使用已批准的 vNetUse approved vNet for VM network interfaces 要求网络接口使用已批准的虚拟网络。Requires that network interfaces use an approved virtual network. 由你指定已批准的虚拟网络的 ID。You specify the ID of the approved virtual network.

网络安全组Network Security Groups

每个 NIC 上的 NSG XNSG X on every NIC 要求将特定网络安全组用于所有虚拟网络接口。Requires that a specific network security group is used with every virtual network interface. 指定要使用的网络安全组的 ID。You specify the ID of the network security group to use.
每个子网上的 NSG XNSG X on every subnet 要求将特定网络安全组用于所有子网。Requires that a specific network security group is used with every virtual subnet. 指定要使用的网络安全组的 ID。You specify the ID of the network security group to use.

Express RouteExpress Route

允许的 Express Route 带宽Allowed Express Route bandwidth 要求 Express Route 使用一组指定的带宽。Requires that express routes use a specified set of bandwidths. 指定可为 Express Route 指定的 SKU 数组。You specify an array of SKUs that can be specified for Express Route.
允许的 Express Route SKUAllowed Express Route SKUs 要求 Express Route 使用已批准的 SKU。Requires that express routes use an approved SKU. 指定允许的 SKU 的数组。You specify an array of allowed SKUs.
允许的 Express Route 对等位置Allowed Express Route peering locations 要求 Express Route 使用指定的对等位置。Requires that express routes use specified peering locations. 指定一个允许的对等位置的数组。You specify an array of allowed peering locations.

网络观察程序Network Watchers

如果未对区域启用网络观察程序,则进行审核Audit if Network Watcher is not enabled for region 如果未对指定区域启用网络观察程序,则进行审核。Audits if network watcher is not enabled for a specified region. 指定区域的名称以检查是否启用了网络观察程序。You specify the name of the region to check whether network watcher is enabled.

应用程序网关Application Gateways

允许的应用程序网关 SKUAllowed Application Gateway SKUs 要求应用程序网关使用已批准的 SKU。Requires that application gateways use an approved SKU. 指定一个已批准的 SKU 的数组。You specify an array of approved SKUs.

SQLSQL

SQL ServerSQL Servers

无 Azure Active Directory 管理员时审核Audit no Azure Active Directory administrator SQL 服务器未分配有任何 Azure Active Directory 管理员时进行审核。Audit when there is no Azure Active Directory administrator assigned to the SQL server.
审核服务器级别的威胁检测设置Audit Server level threat detection setting 如果 SQL 数据库安全警报策略未设置成指定状态,则审核这些策略。Audits SQL database security alert policies if those policies are not set to specified state. 指定一个值,该值指示威胁检测是启用还是禁用状态。You specify a value that indicates whether threat detection is enabled or disabled.
审核 SQL Server 审核设置Audit SQL Server audit settings 基于是否启用了审核设置审核 SQL Server。Audits SQL server based on whether the audit settings are enabled.
审核 SQL Server 级别审核设置Audit SQL Server Level Audit Setting 如果 SQL 服务器审核设置不匹配指定的设置,则审核这些设置。Audits SQL server audit settings if those settings do not match a specified setting. 指定用于指示应启用或禁用审核设置的值。You specify a value that indicates whether audit settings should be enabled or disabled.
需要 SQL Server 版本 12.0Require SQL Server version 12.0 要求 SQL 服务器使用版本 12.0。Requires SQL servers to use version 12.0.

SQL 数据库SQL Databases

允许的 SQL DB SKUAllowed SQL DB SKUs 要求 SQL 数据库使用已批准的 SKU。Requires SQL databases use an approved SKU. 指定一个允许的 SKU ID 的数组或允许的 SKU 名称的数组。You specify an array of allowed SKU IDs or an array of allowed SKU names.
审核 DB 级别的威胁检测设置Audit DB level threat detection setting 如果 SQL 数据库安全警报策略未设置成指定状态,则审核这些策略。Audits SQL database security alert policies if those policies are not set to specified state. 指定一个值,该值指示威胁检测是启用还是禁用状态。You specify a value that indicates whether threat detection is enabled or disabled.
审核 SQL 数据库加密Audit SQL Database encryption 如果 SQL 数据库未启用透明数据加密,则会进行审核。Audits if SQL database does not have transparent data encryption enabled.
审核 SQL DB 级别审核设置Audit SQL DB Level Audit Setting 如果 SQL 数据库审核设置不匹配指定设置,则审核这些设置。Audits SQL database audit settings if those settings do not match a specified setting. 指定用于指示应启用或禁用审核设置的值。You specify a value that indicates whether audit settings should be enabled or disabled.

存储Storage

允许的存储帐户和虚拟网络的 SKUAllowed SKUs for Storage Accounts and Virtual Machines 要求存储帐户和虚拟机使用已批准的 SKU。Requires that storage accounts and virtual machines use approved SKUs. 使用内置策略以确保使用已批准的 SKU。Uses built-in policies to ensure approved SKUs. 指定已批准的虚拟机 SKU 数组和已批准的存储帐户 SKU 数组。You specify an array of approved virtual machines SKUs, and an array of approved storage account SKUs.
允许的存储帐户 SKUAllowed storage account SKUs 要求存储帐户使用批准的 SKU。Requires that storage accounts use an approved SKU. 指定一个已批准的 SKU 的数组。You specify an array of approved SKUs.
拒绝存储帐户的冷访问层Deny cool access tiering for storage accounts 禁止为 blob 存储帐户使用冷访问层。Prohibits the use of cool access tiering for blob storage accounts.
确保 https 流量仅限于存储帐户Ensure https traffic only for storage account 要求存储帐户使用 HTTPS 流量。Requires storage accounts to use HTTPS traffic.
确保存储文件加密Ensure storage file encryption 要求对存储帐户启用文件加密。Requires that file encryption is enabled for storage accounts.
需要存储帐户加密Require storage account encryption 要求存储帐户使用 blob 加密。Requires the storage account use blob encryption.

后续步骤Next steps