是否可以与被豁免的资源同时创建 Azure 策略豁免?

问题描述 投票:0回答:4

Azure 策略可用于定义约定,当启用策略强制时,将防止创建不合规的资源。

在需要豁免不合规资源的场景中,这导致必须协调多个步骤:

  1. 禁用策略执行
  2. 创建不合规资源
  3. 将不合规资源的豁免添加到策略分配中
  4. 重新启用强制执行
  5. 查看在禁用强制执行期间是否发生任何意外变化 - 以及如何使事情恢复合规

虽然上述内容是可以接受的,但我很好奇是否有能力同时创建不合规资源豁免,而不需要协调其他步骤并为引入其他问题创造机会。

有没有办法同时为其创建资源和策略分配豁免?这可能是预览或私人预览功能吗?

azure azure-resource-manager azure-policy
4个回答
1
投票

根据我的经验,资源需要先存在才能包含在豁免中。但是,这些文档确认豁免确实适用于 Azure 中的层次结构。这意味着您可以逐步创建一个资源组来保存不合规资源,然后使用该资源组的范围创建豁免,然后创建不合规资源。

1
投票

听起来您正在寻找自动化解决方案。
我还没有这样做过,也没有看到其他人这样做过——仍然不确定你的用例。为什么要部署需要自动豁免的资源?
无论如何,您可能有机会通过以下方式实现这一目标:

  1. 蓝图:https://learn.microsoft.com/en-us/azure/governance/blueprints/overview
  2. 手动执行 PowerShell 脚本:https://learn.microsoft.com/en-us/cli/azure/policy/exemption?view=azure-cli-latest#az-policy-exemption-create(或 API) .
  3. IaC 将此添加到您的 ARM 模板https://learn.microsoft.com/en-us/azure/templates/microsoft.authorization/policyexemptions?pivots=deployment-language-arm-template
  4. 使用修改策略或使用 DeployIfNotExists https://learn.microsoft.com/en-us/azure/templates/microsoft.authorization/policyexemptions?pivots=deployment-language-arm-template
1
投票

缺少 Roderick Bant 共享的解决方法(创建资源组,豁免它,然后在其中创建资源),这是不可能的。

资源必须在策略未执行时创建,否则根本无法创建豁免资源。创建需要例外的资源需要一系列步骤:

  • 禁用策略执行
  • 创建新资源
  • 创建策略例外
  • 重新启用政策执行
  • 验证并响应政策未生效期间发生的任何违规行为
0
投票

这可以通过创建短期豁免来实现,这样您就可以创建不合规的资源,然后它很快就会关闭:

expires_on = timeadd(timestamp(), "120m") #创建一个短暂的(两小时)豁免

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.