Udostępnij przez

Microsoft.Authorization policyAssignments

Definicja zasobu Bicep

Typ zasobu policyAssignments można wdrożyć z operacjami docelowymi:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.Authorization/policyAssignments, dodaj następujący kod Bicep do szablonu.

resource symbolicname 'Microsoft.Authorization/policyAssignments@2025-03-01' = {
  scope: resourceSymbolicName or scope
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  location: 'string'
  name: 'string'
  properties: {
    assignmentType: 'string'
    definitionVersion: 'string'
    description: 'string'
    displayName: 'string'
    enforcementMode: 'string'
    metadata: any(...)
    nonComplianceMessages: [
      {
        message: 'string'
        policyDefinitionReferenceId: 'string'
      }
    ]
    notScopes: [
      'string'
    ]
    overrides: [
      {
        kind: 'string'
        selectors: [
          {
            in: [
              'string'
            ]
            kind: 'string'
            notIn: [
              'string'
            ]
          }
        ]
        value: 'string'
      }
    ]
    parameters: {
      {customized property}: {
        value: any(...)
      }
    }
    policyDefinitionId: 'string'
    resourceSelectors: [
      {
        name: 'string'
        selectors: [
          {
            in: [
              'string'
            ]
            kind: 'string'
            notIn: [
              'string'
            ]
          }
        ]
      }
    ]
  }
}

Wartości właściwości

Microsoft.Authorization/policyAssignments

Nazwa Opis Wartość
tożsamość Tożsamość zarządzana skojarzona z przypisaniem zasad. Tożsamość
lokalizacja Lokalizacja przypisania zasad. Wymagane tylko w przypadku korzystania z tożsamości zarządzanej. ciąg
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (wymagane)
Właściwości Właściwości przypisania zasad. Właściwości PolicyAssignmentProperties
zakres Użyj polecenia podczas tworzenia zasobu w zakresie innym niż zakres wdrożenia. Ustaw tę właściwość na symboliczną nazwę zasobu, aby zastosować zasób rozszerzenia .

Tożsamość

Nazwa Opis Wartość
typ Typ tożsamości. Jest to jedyne pole wymagane podczas dodawania tożsamości przypisanej przez system lub użytkownika do zasobu. "Brak"
"SystemAssigned"
"UserAssigned"
tożsamości przypisane użytkownikom Tożsamość użytkownika skojarzona z zasadami. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". IdentityUserAssignedIdentities

IdentityUserAssignedIdentities

Nazwa Opis Wartość

NonComplianceMessage (Komunikat o niezgodności)

Nazwa Opis Wartość
komunikat Komunikat opisujący, dlaczego zasób jest niezgodny z zasadami. Jest to wyświetlane w komunikatach o błędach "odmów" i wynikach niezgodności zasobu. ciąg (wymagany)
policyDefinitionReferenceId Identyfikator odwołania definicji zasad w definicji zestawu zasad, dla których jest przeznaczony komunikat. Ma to zastosowanie tylko wtedy, gdy przypisanie zasad przypisuje definicję zestawu zasad. Jeśli nie zostanie podany komunikat dotyczy wszystkich zasad przypisanych przez to przypisanie zasad. ciąg

Zastąpić

Nazwa Opis Wartość
rodzaj Rodzaj przesłonięcia. "definitionVersion"
"policyEffect"
Selektory Lista wyrażeń selektora. Selektor[]
wartość Wartość, aby zastąpić właściwość zasad. ciąg

Wartości parametrów

Nazwa Opis Wartość

Wartość parametru

Nazwa Opis Wartość
wartość Wartość parametru. jakikolwiek

Właściwości PolicyAssignmentProperties

Nazwa Opis Wartość
assignmentType (typ przypisania) Typ przypisania zasad. Możliwe wartości to NotSpecified, System, SystemHidden i Custom. Niezmienialny. "Niestandardowy"
"NotSpecified"
"System"
"SystemHidden"
definitionVersion (wersja definicji) Wersja definicji zasad do użycia. ciąg
opis Ten komunikat będzie częścią odpowiedzi w przypadku naruszenia zasad. ciąg
nazwa wyświetlana Nazwa wyświetlana przypisania zasad. ciąg
enforcementMode (tryb egzekwowania) Tryb wymuszania przypisania zasad. Możliwe wartości to Default, DoNotEnforce i Enroll "Wartość domyślna"
"DoNotEnforce"
"Zarejestruj"
metadane Metadane przypisania zasad. Metadane są otwartym obiektem końcowym i zazwyczaj jest kolekcją par klucz-wartość. jakikolwiek
nonComplianceMessages Komunikaty opisujące, dlaczego zasób jest niezgodny z zasadami. nonComplianceMessage[]
notScopes (Zakresy nie) Wykluczone zakresy zasad. ciąg znakowy[]
Zastępuje Wartość właściwości zasad zastępuje. przesłonięcia[]
Parametry Wartości parametrów dla przypisanej reguły zasad. Klucze są nazwami parametrów. Wartości parametrów
policyDefinitionId (identyfikator policyDefinitionId) Identyfikator przypisanej definicji zasad lub definicji zestawu zasad. ciąg
Selektory zasobów Lista selektorów zasobów do filtrowania zasad według właściwości zasobów. Selektor zasobów[]

Selektor zasobów

Nazwa Opis Wartość
nazwa Nazwa selektora zasobów. ciąg
Selektory Lista wyrażeń selektora. Selektor[]

Selektor

Nazwa Opis Wartość
w Lista wartości do filtrowania. ciąg znakowy[]
rodzaj Rodzaj selektora. "policyDefinitionReferenceId"
"resourceLocation"
"resourceType"
"resourceWithoutLocation"
notIn (nie) Lista wartości do odfiltrowania. ciąg znakowy[]

UserAssignedIdentitiesValue (Wartość)

Nazwa Opis Wartość

Przykłady użycia

Przykłady szybkiego startu platformy Azure

Poniższe szablony szybkiego startu platformy Azure zawierają przykłady Bicep na potrzeby wdrażania tego typu zasobu.

Plik Bicep Opis
Przypisz wbudowane zasady do inspekcji dysków zarządzanych maszyny wirtualnej Ten szablon przypisuje wbudowane zasady do zakresu grupy zasobów w celu inspekcji dysków zarządzanych maszyny wirtualnej.
Tworzenie menedżera sieci wirtualnej platformy Azure i przykładowych sieci wirtualnych Ten szablon umożliwia wdrożenie menedżera sieci wirtualnej platformy Azure i przykładowych sieci wirtualnych w nazwanej grupie zasobów. Obsługuje wiele topologii łączności i typów członkostwa w grupach sieci.
wdrażanie def zasad i przypisywanie do wielu grup mgmt Ten szablon jest szablonem na poziomie grupy zarządzania, który utworzy definicję zasad i przypisze te zasady do wielu grup zarządzania.
Wdrażanie definicji zasad i przypisywanie ich do grupy zarządzania Ten szablon jest szablonem na poziomie grupy zarządzania, który utworzy definicję zasad i przypisze te zasady do docelowej grupy zarządzania. Obecnie nie można wdrożyć tego szablonu za pośrednictwem witryny Azure Portal.

Definicja zasobu szablonu usługi ARM

Typ zasobu policyAssignments można wdrożyć z operacjami docelowymi:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.Authorization/policyAssignments, dodaj następujący kod JSON do szablonu.

{
  "type": "Microsoft.Authorization/policyAssignments",
  "apiVersion": "2025-03-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "location": "string",
  "properties": {
    "assignmentType": "string",
    "definitionVersion": "string",
    "description": "string",
    "displayName": "string",
    "enforcementMode": "string",
    "metadata": {},
    "nonComplianceMessages": [
      {
        "message": "string",
        "policyDefinitionReferenceId": "string"
      }
    ],
    "notScopes": [ "string" ],
    "overrides": [
      {
        "kind": "string",
        "selectors": [
          {
            "in": [ "string" ],
            "kind": "string",
            "notIn": [ "string" ]
          }
        ],
        "value": "string"
      }
    ],
    "parameters": {
      "{customized property}": {
        "value": {}
      }
    },
    "policyDefinitionId": "string",
    "resourceSelectors": [
      {
        "name": "string",
        "selectors": [
          {
            "in": [ "string" ],
            "kind": "string",
            "notIn": [ "string" ]
          }
        ]
      }
    ]
  }
}

Wartości właściwości

Microsoft.Authorization/policyAssignments

Nazwa Opis Wartość
apiVersion (wersja interfejsu api) Wersja interfejsu API '2025-03-01'
tożsamość Tożsamość zarządzana skojarzona z przypisaniem zasad. Tożsamość
lokalizacja Lokalizacja przypisania zasad. Wymagane tylko w przypadku korzystania z tożsamości zarządzanej. ciąg
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (wymagane)
Właściwości Właściwości przypisania zasad. Właściwości PolicyAssignmentProperties
typ Typ zasobu "Microsoft.Authorization/policyAssignments"

Tożsamość

Nazwa Opis Wartość
typ Typ tożsamości. Jest to jedyne pole wymagane podczas dodawania tożsamości przypisanej przez system lub użytkownika do zasobu. "Brak"
"SystemAssigned"
"UserAssigned"
tożsamości przypisane użytkownikom Tożsamość użytkownika skojarzona z zasadami. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". IdentityUserAssignedIdentities

IdentityUserAssignedIdentities

Nazwa Opis Wartość

NonComplianceMessage (Komunikat o niezgodności)

Nazwa Opis Wartość
komunikat Komunikat opisujący, dlaczego zasób jest niezgodny z zasadami. Jest to wyświetlane w komunikatach o błędach "odmów" i wynikach niezgodności zasobu. ciąg (wymagany)
policyDefinitionReferenceId Identyfikator odwołania definicji zasad w definicji zestawu zasad, dla których jest przeznaczony komunikat. Ma to zastosowanie tylko wtedy, gdy przypisanie zasad przypisuje definicję zestawu zasad. Jeśli nie zostanie podany komunikat dotyczy wszystkich zasad przypisanych przez to przypisanie zasad. ciąg

Zastąpić

Nazwa Opis Wartość
rodzaj Rodzaj przesłonięcia. "definitionVersion"
"policyEffect"
Selektory Lista wyrażeń selektora. Selektor[]
wartość Wartość, aby zastąpić właściwość zasad. ciąg

Wartości parametrów

Nazwa Opis Wartość

Wartość parametru

Nazwa Opis Wartość
wartość Wartość parametru. jakikolwiek

Właściwości PolicyAssignmentProperties

Nazwa Opis Wartość
assignmentType (typ przypisania) Typ przypisania zasad. Możliwe wartości to NotSpecified, System, SystemHidden i Custom. Niezmienialny. "Niestandardowy"
"NotSpecified"
"System"
"SystemHidden"
definitionVersion (wersja definicji) Wersja definicji zasad do użycia. ciąg
opis Ten komunikat będzie częścią odpowiedzi w przypadku naruszenia zasad. ciąg
nazwa wyświetlana Nazwa wyświetlana przypisania zasad. ciąg
enforcementMode (tryb egzekwowania) Tryb wymuszania przypisania zasad. Możliwe wartości to Default, DoNotEnforce i Enroll "Wartość domyślna"
"DoNotEnforce"
"Zarejestruj"
metadane Metadane przypisania zasad. Metadane są otwartym obiektem końcowym i zazwyczaj jest kolekcją par klucz-wartość. jakikolwiek
nonComplianceMessages Komunikaty opisujące, dlaczego zasób jest niezgodny z zasadami. nonComplianceMessage[]
notScopes (Zakresy nie) Wykluczone zakresy zasad. ciąg znakowy[]
Zastępuje Wartość właściwości zasad zastępuje. przesłonięcia[]
Parametry Wartości parametrów dla przypisanej reguły zasad. Klucze są nazwami parametrów. Wartości parametrów
policyDefinitionId (identyfikator policyDefinitionId) Identyfikator przypisanej definicji zasad lub definicji zestawu zasad. ciąg
Selektory zasobów Lista selektorów zasobów do filtrowania zasad według właściwości zasobów. Selektor zasobów[]

Selektor zasobów

Nazwa Opis Wartość
nazwa Nazwa selektora zasobów. ciąg
Selektory Lista wyrażeń selektora. Selektor[]

Selektor

Nazwa Opis Wartość
w Lista wartości do filtrowania. ciąg znakowy[]
rodzaj Rodzaj selektora. "policyDefinitionReferenceId"
"resourceLocation"
"resourceType"
"resourceWithoutLocation"
notIn (nie) Lista wartości do odfiltrowania. ciąg znakowy[]

UserAssignedIdentitiesValue (Wartość)

Nazwa Opis Wartość

Przykłady użycia

Szablony szybkiego startu platformy Azure

Następujące szablony szybkiego startu platformy Azure wdrożyć ten typ zasobu.

Szablon Opis
Przypisz wbudowane zasady do istniejącej grupy zasobów

wdrażanie w usłudze Azure		 Ten szablon przypisuje wbudowane zasady do istniejącej grupy zasobów.
Przypisz wbudowane zasady do inspekcji dysków zarządzanych maszyny wirtualnej

wdrażanie w usłudze Azure		 Ten szablon przypisuje wbudowane zasady do zakresu grupy zasobów w celu inspekcji dysków zarządzanych maszyny wirtualnej.
Tworzenie menedżera sieci wirtualnej platformy Azure i przykładowych sieci wirtualnych

wdrażanie w usłudze Azure		 Ten szablon umożliwia wdrożenie menedżera sieci wirtualnej platformy Azure i przykładowych sieci wirtualnych w nazwanej grupie zasobów. Obsługuje wiele topologii łączności i typów członkostwa w grupach sieci.
wdrażanie def zasad i przypisywanie do wielu grup mgmt

wdrażanie w usłudze Azure		 Ten szablon jest szablonem na poziomie grupy zarządzania, który utworzy definicję zasad i przypisze te zasady do wielu grup zarządzania.
Wdrażanie definicji zasad i przypisywanie ich do grupy zarządzania

wdrażanie w usłudze Azure		 Ten szablon jest szablonem na poziomie grupy zarządzania, który utworzy definicję zasad i przypisze te zasady do docelowej grupy zarządzania. Obecnie nie można wdrożyć tego szablonu za pośrednictwem witryny Azure Portal.

Definicja zasobu narzędzia Terraform (dostawcy AzAPI)

Typ zasobu policyAssignments można wdrożyć z operacjami docelowymi:

Aby uzyskać listę zmienionych właściwości w każdej wersji interfejsu API, zobacz dziennika zmian.

Format zasobu

Aby utworzyć zasób Microsoft.Authorization/policyAssignments, dodaj następujący program Terraform do szablonu.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.Authorization/policyAssignments@2025-03-01"
  name = "string"
  parent_id = "string"
  identity {
    type = "string"
    identity_ids = [
      "string"
    ]
  }
  location = "string"
  body = {
    properties = {
      assignmentType = "string"
      definitionVersion = "string"
      description = "string"
      displayName = "string"
      enforcementMode = "string"
      metadata = ?
      nonComplianceMessages = [
        {
          message = "string"
          policyDefinitionReferenceId = "string"
        }
      ]
      notScopes = [
        "string"
      ]
      overrides = [
        {
          kind = "string"
          selectors = [
            {
              in = [
                "string"
              ]
              kind = "string"
              notIn = [
                "string"
              ]
            }
          ]
          value = "string"
        }
      ]
      parameters = {
        {customized property} = {
          value = ?
        }
      }
      policyDefinitionId = "string"
      resourceSelectors = [
        {
          name = "string"
          selectors = [
            {
              in = [
                "string"
              ]
              kind = "string"
              notIn = [
                "string"
              ]
            }
          ]
        }
      ]
    }
  }
}

Wartości właściwości

Microsoft.Authorization/policyAssignments

Nazwa Opis Wartość
tożsamość Tożsamość zarządzana skojarzona z przypisaniem zasad. Tożsamość
lokalizacja Lokalizacja przypisania zasad. Wymagane tylko w przypadku korzystania z tożsamości zarządzanej. ciąg
nazwa Nazwa zasobu struna

Ograniczenia:
Wzorzec = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (wymagane)
parent_id (identyfikator rodzica) Identyfikator zasobu, do który ma być stosowany ten zasób rozszerzenia. ciąg (wymagany)
Właściwości Właściwości przypisania zasad. Właściwości PolicyAssignmentProperties
typ Typ zasobu "Microsoft.Authorization/policyAssignments@2025-03-01"

Tożsamość

Nazwa Opis Wartość
typ Typ tożsamości. Jest to jedyne pole wymagane podczas dodawania tożsamości przypisanej przez system lub użytkownika do zasobu. "Brak"
"SystemAssigned"
"UserAssigned"
tożsamości przypisane użytkownikom Tożsamość użytkownika skojarzona z zasadami. Odwołania do klucza słownika tożsamości użytkownika będą identyfikatorami zasobów arm w postaci: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}". IdentityUserAssignedIdentities

IdentityUserAssignedIdentities

Nazwa Opis Wartość

NonComplianceMessage (Komunikat o niezgodności)

Nazwa Opis Wartość
komunikat Komunikat opisujący, dlaczego zasób jest niezgodny z zasadami. Jest to wyświetlane w komunikatach o błędach "odmów" i wynikach niezgodności zasobu. ciąg (wymagany)
policyDefinitionReferenceId Identyfikator odwołania definicji zasad w definicji zestawu zasad, dla których jest przeznaczony komunikat. Ma to zastosowanie tylko wtedy, gdy przypisanie zasad przypisuje definicję zestawu zasad. Jeśli nie zostanie podany komunikat dotyczy wszystkich zasad przypisanych przez to przypisanie zasad. ciąg

Zastąpić

Nazwa Opis Wartość
rodzaj Rodzaj przesłonięcia. "definitionVersion"
"policyEffect"
Selektory Lista wyrażeń selektora. Selektor[]
wartość Wartość, aby zastąpić właściwość zasad. ciąg

Wartości parametrów

Nazwa Opis Wartość

Wartość parametru

Nazwa Opis Wartość
wartość Wartość parametru. jakikolwiek

Właściwości PolicyAssignmentProperties

Nazwa Opis Wartość
assignmentType (typ przypisania) Typ przypisania zasad. Możliwe wartości to NotSpecified, System, SystemHidden i Custom. Niezmienialny. "Niestandardowy"
"NotSpecified"
"System"
"SystemHidden"
definitionVersion (wersja definicji) Wersja definicji zasad do użycia. ciąg
opis Ten komunikat będzie częścią odpowiedzi w przypadku naruszenia zasad. ciąg
nazwa wyświetlana Nazwa wyświetlana przypisania zasad. ciąg
enforcementMode (tryb egzekwowania) Tryb wymuszania przypisania zasad. Możliwe wartości to Default, DoNotEnforce i Enroll "Wartość domyślna"
"DoNotEnforce"
"Zarejestruj"
metadane Metadane przypisania zasad. Metadane są otwartym obiektem końcowym i zazwyczaj jest kolekcją par klucz-wartość. jakikolwiek
nonComplianceMessages Komunikaty opisujące, dlaczego zasób jest niezgodny z zasadami. nonComplianceMessage[]
notScopes (Zakresy nie) Wykluczone zakresy zasad. ciąg znakowy[]
Zastępuje Wartość właściwości zasad zastępuje. przesłonięcia[]
Parametry Wartości parametrów dla przypisanej reguły zasad. Klucze są nazwami parametrów. Wartości parametrów
policyDefinitionId (identyfikator policyDefinitionId) Identyfikator przypisanej definicji zasad lub definicji zestawu zasad. ciąg
Selektory zasobów Lista selektorów zasobów do filtrowania zasad według właściwości zasobów. Selektor zasobów[]

Selektor zasobów

Nazwa Opis Wartość
nazwa Nazwa selektora zasobów. ciąg
Selektory Lista wyrażeń selektora. Selektor[]

Selektor

Nazwa Opis Wartość
w Lista wartości do filtrowania. ciąg znakowy[]
rodzaj Rodzaj selektora. "policyDefinitionReferenceId"
"resourceLocation"
"resourceType"
"resourceWithoutLocation"
notIn (nie) Lista wartości do odfiltrowania. ciąg znakowy[]

UserAssignedIdentitiesValue (Wartość)

Nazwa Opis Wartość

Przykłady użycia

Przykłady programu Terraform

Podstawowy przykład wdrażania przypisywania zasad.

terraform {
  required_providers {
    azapi = {
      source = "Azure/azapi"
    }
    azurerm = {
      source = "hashicorp/azurerm"
    }
  }
}

provider "azurerm" {
  features {
  }
}

provider "azapi" {
  skip_provider_registration = false
}

variable "resource_name" {
  type    = string
  default = "acctest0001"
}

variable "location" {
  type    = string
  default = "eastus"
}

data "azurerm_client_config" "current" {
}

data "azapi_resource" "subscription" {
  type                   = "Microsoft.Resources/subscriptions@2021-01-01"
  resource_id            = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
  response_export_values = ["*"]
}

resource "azapi_resource" "policyDefinition" {
  type      = "Microsoft.Authorization/policyDefinitions@2021-06-01"
  parent_id = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
  name      = var.resource_name
  body = {
    properties = {
      description = ""
      displayName = "my-policy-definition"
      mode        = "All"
      parameters = {
        allowedLocations = {
          metadata = {
            description = "The list of allowed locations for resources."
            displayName = "Allowed locations"
            strongType  = "location"
          }
          type = "Array"
        }
      }
      policyRule = {
        if = {
          not = {
            field = "location"
            in    = "[parameters('allowedLocations')]"
          }
        }
        then = {
          effect = "audit"
        }
      }
      policyType = "Custom"
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

resource "azapi_resource" "policyAssignment" {
  type      = "Microsoft.Authorization/policyAssignments@2022-06-01"
  parent_id = data.azapi_resource.subscription.id
  name      = var.resource_name
  body = {
    properties = {
      displayName     = ""
      enforcementMode = "Default"
      parameters = {
        listOfAllowedLocations = {
          value = [
            "West Europe",
            "West US 2",
            "East US 2",
          ]
        }
      }
      policyDefinitionId = azapi_resource.policyDefinition.id
      scope              = data.azapi_resource.subscription.id
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}
  • Last updated on