【Azure Policy】实现拒绝新建 可以修改已存在资源的 Azure Policy 方案 - LuBu0505/My-Code GitHub Wiki

问题描述

在使用Azure的日常工作中,很可能面临这样的情况。

为了避免资源的随意创建或是从成本考虑,只能对已有资源进行修改,不允许创建新的资源。

在Azure上,是否有方案可以实现这一需求呢?

第一时间想到的方案是使用Azure Policy。但是,在经过分析后,发现使用Policy的Deny策略,它会一锅端。任何符合要求的操作(新建,修改,删除) 都会被Deny,无法实现以上需求。

基于AI时代解决问题的新思路,问题先问大模型。得到回答如下:

Azure Policy本身是一个治理工具,它通过定义策略来控制资源的创建和配置,但它的能力有一些限制:

能否区分“新建”和“修改”?

  • Azure Policy主要在资源创建或更新时触发,但它无法直接判断操作是“新建”还是“修改”,因为在技术上,两者都是 PUT 请求。
  • Policy的effect(如 deny,audit )会在资源属性不符合策略时生效,而不是基于操作类型。

是否可以实现“拒绝新建,允许修改”?

直接实现:不行,因为Policy无法区分首次创建和后续更新。

既然直接实现不可以,那么本文就介绍一种代替方案。

思路如下:

第一步:创建一个Audit Policy,分配到对于的资源上,然后触发策略评估

第二步:为扫描后不合规的资源添加豁免(exemption)

第三步:修改 Audit Policy 为 Deny Policy

已存在的资源就会被豁免不进行策略评估,而新建资源因为不在豁免列表中,所以会被Deny策略拒绝

操作步骤

第一步:创建一个Audit Policy

Audit Policy的范围是针对指定的区域不允许新建资源,比如中国东部二区数据中心( China East 2)

策略内容如下

{
  "mode": "All",
  "policyRule": {
    "if": {
      "field": "location",
      "In": "[parameters('disAllowedLocations')]"
    },
    "then": {
      "effect": "Audit"
    }
  },
  "parameters": {
    "disAllowedLocations": {
      "type": "Array",
      "metadata": {
        "displayName": "Disallowed locations",
        "description": "The list of allowed locations for resources.",
        "strongType": "location"
      }
    }
  }
}

创建后分配,并查看Compliance结果。

PS: 为避免等待,可以使用 az policy state trigger-scan --resource-group "your resource group name" 来触发策略评估

第二步:再分配中添加豁免

这里需要一个资源一个资源的添加,或者是通过一个资源选择器来添加有相同点的资源 image.png

**说明:**Exemption category有两个值 Waiver 和 Mitigated

**Waiver 的含义 **表示该资源或范围完全豁免策略评估,即策略不再对它进行合规性检查。

**  效果**:策略不会再标记该资源为“不合规”,不会触发 deny 或 audit

**Mitigated的含义 **表示该资源仍然不符合策略要求,但由于有补偿措施(Mitigation),所以不再视为风险。

**  效果:**策略仍会评估,但在合规报告中标记为“已缓解”(Mitigated),不会影响整体合规评分。

第三步:把第一步中的 Audit Policy修改为Deny

回到第一步中创建的这个Policy Definition,点击"Edit Definition"。把

{ "effect": "Audit" }

修改为

{ "effect": "Deny" }

即可!

第四步:测试新建资源

当创建新资源的时候,会提示创建失败,因为没有通过策略评估

Deployment validation failed.

Additional details from the underlying API that might be helpful: The template deployment failed because of policy violation.

Please see details for more information. image.png

第五步:测试修改被豁免的资源

对第二步中豁免的Redis资源进行修改,可以成功! image.png

经过第四步和第五步的验证,成功的通过Azure Policy实现了对新添加资源的拒绝,并且不影响对已经存在资源的修改操作。

问题一:是否可以在第三步修改Policy为Deny后,在去添加豁免呢?

不可以,因为这个添加也是对资源的修改。如果没有提前豁免,就会被Deny策略所阻止,得到 Resource was disallowed by policy 错误提示。 image.png

参考资料

Azure Policy 豁免结构 : https://docs.azure.cn/zh-cn/governance/policy/concepts/exemption-structure

当在复杂的环境中面临问题,格物之道需:浊而静之徐清,安以动之徐生。 云中,恰是如此!