Azure Policy 定义未按预期进行评估

Azure Policy Definition Not Evaluating As Expected

提问人:Vegas588 提问时间:11/16/2023 最后编辑:Vegas588 更新时间:11/17/2023 访问量:54

问:

我正在尝试配置一个 Azure Policy,该 Azure Policy 将(目前)针对以下条件审核恢复服务保管库:

  1. softDeleteSettings 必须为“Enabled”
  2. softDeleteRetentionPeriodInDays 必须为 14

对于实际上正确设置了这些设置的保管库,该策略仍评估为不合规。需要一些关于我的语法的指导,因为显然它是不正确的。我已经尝试了两次迭代,但都没有产生我想要的结果。

当前尝试

    "policyRule": {
      "if": {
        "anyOf": [
          {
            "anyOf": [
              {
                "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings.softDeleteState",
                "notEquals": "Enabled"
              },
              {
                "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings.softDeleteRetentionPeriodInDays",
                "notEquals": 14
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "audit"
      }
    }

上一次尝试

        "policyRule": {
            "if": {
                "allOf": [
                    {
                        "field": "type",
                        "equals": "Microsoft.RecoveryServices/vaults"
                    },
                    {
                        "value": "[contains(resourcegroup().tags['exempt'], 'rv01')]",
                        "equals": false
                    },
                    {
                        "anyOf": [
                            {
                                "allOf": [
                                    {
                                        "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings",
                                        "exists": "true"
                                    },
                                    {
                                        "anyOf": [
                                            {
                                                "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings.softDeleteState",
                                                "notEquals": "Enabled"
                                            },
                                            {
                                                "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings.softDeleteRetentionPeriodInDays",
                                                "notEquals": 14
                                            }
                                        ]
                                    }
                                ]
                            }
                        ]
                    }
                ]
            },
            "then": {
                "effect": "audit"
            }
        }

电流误差

enter image description here

azure-policy

评论

答:

0赞 Venkat V 11/17/2023 #1

审核恢复服务保管库是否符合以下条件:

  1. softDeleteSettings 必须为“Enabled”
  2. softDeleteRetentionPeriodInDays 必须为 14

您的策略中存在一些语法问题。以下是更新后的策略,用于检查是否同时满足这两个条件。它将审核为合规;否则,不合规

    {
      "mode": "All",
      "policyRule": {
        "if": {
          "allOf": [
            {
              "field": "type",
              "equals": "Microsoft.RecoveryServices/vaults"
            },
            {
              "not": {
                "field": "tags['exempt']",
                "equals": "rv01"
              }
            },
            {
              "not": {
                "allOf": [
                  {
                    "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings.softDeleteState",
                    "equals": "Enabled"
                  },
                  {
                    "field": "Microsoft.RecoveryServices/vaults/securitySettings.softDeleteSettings.softDeleteRetentionPeriodInDays",
                    "equals": 14
                  }
                ]
              }
            }
          ]
        },
        "then": {
          "effect": "audit"
        }
      },
      "parameters": {}
    }

如果同时满足这两个条件,则该策略是合规的,如下所示。

enter image description here

如果不同时满足这两个条件,则该策略不合规,如下所示。

enter image description here

合规报告

enter image description here

评论

0赞 Vegas588 11/17/2023
谢谢你的信息。我把它复制了进去,但仍然没有正确评估。发布了上面的屏幕截图。我不关心标签值错误,所以我现在可以删除该条件。我不明白为什么softDelete是空白的。我可以在资源上清楚地看到它,它也在 json 中。
0赞 Venkat V 11/17/2023
您指的是给定屏幕截图中“softDeleteState”的当前值,这是策略不审核资源的原因吗?
0赞 Vegas588 11/17/2023
正确。不清楚为什么它会被视为---.同样,我可以看到在门户和 json 视图中设置的值。
0赞 Venkat V 11/18/2023
虽然异步策略评估可能需要一些时间来更新合规性数据,但就我而言,这些值按预期显示。这是我的政策和相应的结果。如果继续遇到相同的问题,请考虑删除作业,然后重新分配。
0赞 Venkat V 11/21/2023
我希望这能解决您的疑问?

上一个:使用 Spring Boot 和 Angular 的 CORS 策略

下一个:Azure NSG 流日志内置策略在创建新资源时不修正 [已关闭]