Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Definição de recursos do bíceps
O tipo de recurso policyAssignments pode ser implantado com operações que visam:
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Authorization/policyAssignments, adicione o seguinte Bíceps ao seu modelo.
resource symbolicname 'Microsoft.Authorization/policyAssignments@2025-03-01' = {
scope: resourceSymbolicName or scope
identity: {
type: 'string'
userAssignedIdentities: {
{customized property}: {}
}
}
location: 'string'
name: 'string'
properties: {
assignmentType: 'string'
definitionVersion: 'string'
description: 'string'
displayName: 'string'
enforcementMode: 'string'
metadata: any(...)
nonComplianceMessages: [
{
message: 'string'
policyDefinitionReferenceId: 'string'
}
]
notScopes: [
'string'
]
overrides: [
{
kind: 'string'
selectors: [
{
in: [
'string'
]
kind: 'string'
notIn: [
'string'
]
}
]
value: 'string'
}
]
parameters: {
{customized property}: {
value: any(...)
}
}
policyDefinitionId: 'string'
resourceSelectors: [
{
name: 'string'
selectors: [
{
in: [
'string'
]
kind: 'string'
notIn: [
'string'
]
}
]
}
]
}
}
Valores de propriedade
Microsoft.Authorization/policyAssignments
| Designação | Descrição | Valor |
|---|---|---|
| identidade | A identidade gerenciada associada à atribuição de política. | Identidade |
| localização | O local da atribuição da política. Necessário apenas ao utilizar a identidade gerenciada. | cadeia (de caracteres) |
| Designação | O nome do recurso | cadeia de caracteres Restrições: Padrão = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (obrigatório) |
| propriedades | Propriedades para a atribuição de política. | PolicyAssignmentProperties |
| âmbito | Use ao criar um recurso em um escopo diferente do escopo de implantação. | Defina essa propriedade como o nome simbólico de um recurso para aplicar o recurso de extensão . |
Identidade
IdentityUserAssignedIdentities
| Designação | Descrição | Valor |
|---|
NonComplianceMessage
| Designação | Descrição | Valor |
|---|---|---|
| mensagem | Uma mensagem que descreve por que um recurso não está em conformidade com a política. Isso é mostrado em mensagens de erro "negar" e nos resultados de conformidade não compatíveis do recurso. | string (obrigatório) |
| policyDefinitionReferenceId | O ID de referência de definição de política dentro de uma definição de conjunto de políticas a que a mensagem se destina. Isso só é aplicável se a atribuição de política atribuir uma definição de conjunto de políticas. Se isso não for fornecido, a mensagem se aplicará a todas as políticas atribuídas por essa atribuição de política. | cadeia (de caracteres) |
Substituir
| Designação | Descrição | Valor |
|---|---|---|
| tipo | O tipo de substituição. | 'definiçãoVersão' 'Efeito política' |
| seletores | A lista das expressões do seletor. | Seletor[] |
| valor | O valor para substituir a propriedade policy. | cadeia (de caracteres) |
ParâmetroValores
| Designação | Descrição | Valor |
|---|
ParameterValuesValue
| Designação | Descrição | Valor |
|---|---|---|
| valor | O valor do parâmetro. | qualquer |
PolicyAssignmentProperties
| Designação | Descrição | Valor |
|---|---|---|
| Tipo de atribuição | O tipo de atribuição de política. Os valores possíveis são NotSpecified, System, SystemHidden e Custom. Imutável. | 'Personalizado' 'Não especificado' 'Sistema' 'SystemHidden' |
| definiçãoVersão | A versão da definição de política a ser usada. | cadeia (de caracteres) |
| Descrição | Esta mensagem fará parte da resposta em caso de violação da política. | cadeia (de caracteres) |
| nome de exibição | O nome para exibição da atribuição de política. | cadeia (de caracteres) |
| enforcementMode | O modo de imposição de atribuição de política. Os valores possíveis são Default, DoNotEnforce e Enroll | 'Inadimplência' 'DoNotEnforce' 'Inscrever-se' |
| metadados | Os metadados de atribuição de política. Os metadados são um objeto aberto e normalmente são uma coleção de pares de valores de chave. | qualquer |
| nonComplianceMessages | As mensagens que descrevem por que um recurso não está em conformidade com a política. | NonComplianceMessage[] |
| notÂmbitos | Os escopos excluídos da política. | string[] |
| substituições | A substituição do valor da propriedade da política. | Substituir[] |
| Parâmetros | Os valores de parâmetro para a regra de política atribuída. As chaves são os nomes dos parâmetros. | ParâmetroValores |
| policyDefinitionId | A ID da definição de política ou definição de conjunto de políticas que está sendo atribuída. | cadeia (de caracteres) |
| resourceSelectors | A lista de seletores de recursos para filtrar políticas por propriedades de recursos. | ResourceSelector [] |
Seletor de Recursos
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do seletor de recursos. | cadeia (de caracteres) |
| seletores | A lista das expressões do seletor. | Seletor[] |
Seletor
| Designação | Descrição | Valor |
|---|---|---|
| em | A lista de valores a filtrar. | string[] |
| tipo | O tipo seletor. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'resourceWithoutLocation' |
| nãoEm | A lista de valores a filtrar. | string[] |
UserAssignedIdentitiesValue
| Designação | Descrição | Valor |
|---|
Exemplos de uso
Exemplos de início rápido do Azure
Os seguintes modelos início rápido do Azure contêm exemplos de Bicep para implantar esse tipo de recurso.
| Arquivo Bicep | Descrição |
|---|---|
| Atribuir política interna para auditar discos gerenciados por VM | Este modelo atribui uma política interna a um escopo de grupo de recursos para auditar discos gerenciados de máquina virtual (VM). |
| Criar um Gerenciador de Rede Virtual do Azure e exemplos de VNETs | Este modelo implanta um Gerenciador de Rede Virtual do Azure e redes virtuais de exemplo no grupo de recursos nomeado. Ele suporta várias topologias de conectividade e tipos de associação de grupo de rede. |
| implantar uma definição de política e atribuir a vários grupos de gerenciamento | Este modelo é um modelo de nível de grupo de gerenciamento que criará uma definição de política e atribuirá essa política a vários grupos de gerenciamento. |
| Implantar uma definição de política e atribuir a um grupo de gerenciamento | Este modelo é um modelo de nível de grupo de gerenciamento que criará uma definição de política e atribuirá essa política ao grupo de gerenciamento de destino. Atualmente, esse modelo não pode ser implantado por meio do Portal do Azure. |
Definição de recurso de modelo ARM
O tipo de recurso policyAssignments pode ser implantado com operações que visam:
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Authorization/policyAssignments, adicione o seguinte JSON ao seu modelo.
{
"type": "Microsoft.Authorization/policyAssignments",
"apiVersion": "2025-03-01",
"name": "string",
"identity": {
"type": "string",
"userAssignedIdentities": {
"{customized property}": {
}
}
},
"location": "string",
"properties": {
"assignmentType": "string",
"definitionVersion": "string",
"description": "string",
"displayName": "string",
"enforcementMode": "string",
"metadata": {},
"nonComplianceMessages": [
{
"message": "string",
"policyDefinitionReferenceId": "string"
}
],
"notScopes": [ "string" ],
"overrides": [
{
"kind": "string",
"selectors": [
{
"in": [ "string" ],
"kind": "string",
"notIn": [ "string" ]
}
],
"value": "string"
}
],
"parameters": {
"{customized property}": {
"value": {}
}
},
"policyDefinitionId": "string",
"resourceSelectors": [
{
"name": "string",
"selectors": [
{
"in": [ "string" ],
"kind": "string",
"notIn": [ "string" ]
}
]
}
]
}
}
Valores de propriedade
Microsoft.Authorization/policyAssignments
| Designação | Descrição | Valor |
|---|---|---|
| Versão da API | A versão api | '2025-03-01' |
| identidade | A identidade gerenciada associada à atribuição de política. | Identidade |
| localização | O local da atribuição da política. Necessário apenas ao utilizar a identidade gerenciada. | cadeia (de caracteres) |
| Designação | O nome do recurso | cadeia de caracteres Restrições: Padrão = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (obrigatório) |
| propriedades | Propriedades para a atribuição de política. | PolicyAssignmentProperties |
| tipo | O tipo de recurso | 'Microsoft.Authorization/policyAssignments' |
Identidade
IdentityUserAssignedIdentities
| Designação | Descrição | Valor |
|---|
NonComplianceMessage
| Designação | Descrição | Valor |
|---|---|---|
| mensagem | Uma mensagem que descreve por que um recurso não está em conformidade com a política. Isso é mostrado em mensagens de erro "negar" e nos resultados de conformidade não compatíveis do recurso. | string (obrigatório) |
| policyDefinitionReferenceId | O ID de referência de definição de política dentro de uma definição de conjunto de políticas a que a mensagem se destina. Isso só é aplicável se a atribuição de política atribuir uma definição de conjunto de políticas. Se isso não for fornecido, a mensagem se aplicará a todas as políticas atribuídas por essa atribuição de política. | cadeia (de caracteres) |
Substituir
| Designação | Descrição | Valor |
|---|---|---|
| tipo | O tipo de substituição. | 'definiçãoVersão' 'Efeito política' |
| seletores | A lista das expressões do seletor. | Seletor[] |
| valor | O valor para substituir a propriedade policy. | cadeia (de caracteres) |
ParâmetroValores
| Designação | Descrição | Valor |
|---|
ParameterValuesValue
| Designação | Descrição | Valor |
|---|---|---|
| valor | O valor do parâmetro. | qualquer |
PolicyAssignmentProperties
| Designação | Descrição | Valor |
|---|---|---|
| Tipo de atribuição | O tipo de atribuição de política. Os valores possíveis são NotSpecified, System, SystemHidden e Custom. Imutável. | 'Personalizado' 'Não especificado' 'Sistema' 'SystemHidden' |
| definiçãoVersão | A versão da definição de política a ser usada. | cadeia (de caracteres) |
| Descrição | Esta mensagem fará parte da resposta em caso de violação da política. | cadeia (de caracteres) |
| nome de exibição | O nome para exibição da atribuição de política. | cadeia (de caracteres) |
| enforcementMode | O modo de imposição de atribuição de política. Os valores possíveis são Default, DoNotEnforce e Enroll | 'Inadimplência' 'DoNotEnforce' 'Inscrever-se' |
| metadados | Os metadados de atribuição de política. Os metadados são um objeto aberto e normalmente são uma coleção de pares de valores de chave. | qualquer |
| nonComplianceMessages | As mensagens que descrevem por que um recurso não está em conformidade com a política. | NonComplianceMessage[] |
| notÂmbitos | Os escopos excluídos da política. | string[] |
| substituições | A substituição do valor da propriedade da política. | Substituir[] |
| Parâmetros | Os valores de parâmetro para a regra de política atribuída. As chaves são os nomes dos parâmetros. | ParâmetroValores |
| policyDefinitionId | A ID da definição de política ou definição de conjunto de políticas que está sendo atribuída. | cadeia (de caracteres) |
| resourceSelectors | A lista de seletores de recursos para filtrar políticas por propriedades de recursos. | ResourceSelector [] |
Seletor de Recursos
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do seletor de recursos. | cadeia (de caracteres) |
| seletores | A lista das expressões do seletor. | Seletor[] |
Seletor
| Designação | Descrição | Valor |
|---|---|---|
| em | A lista de valores a filtrar. | string[] |
| tipo | O tipo seletor. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'resourceWithoutLocation' |
| nãoEm | A lista de valores a filtrar. | string[] |
UserAssignedIdentitiesValue
| Designação | Descrição | Valor |
|---|
Exemplos de uso
Modelos de início rápido do Azure
Os seguintes modelos de início rápido do Azure implantar esse tipo de recurso.
| Modelo | Descrição |
|---|---|
Atribuir uma política interna a um grupo de recursos existente
|
Este modelo atribui uma política interna a um grupo de recursos existente. |
|
Atribuir política interna para auditar discos gerenciados por VM
|
Este modelo atribui uma política interna a um escopo de grupo de recursos para auditar discos gerenciados de máquina virtual (VM). |
|
Criar um Gerenciador de Rede Virtual do Azure e exemplos de VNETs
|
Este modelo implanta um Gerenciador de Rede Virtual do Azure e redes virtuais de exemplo no grupo de recursos nomeado. Ele suporta várias topologias de conectividade e tipos de associação de grupo de rede. |
|
implantar uma definição de política e atribuir a vários grupos de gerenciamento
|
Este modelo é um modelo de nível de grupo de gerenciamento que criará uma definição de política e atribuirá essa política a vários grupos de gerenciamento. |
|
Implantar uma definição de política e atribuir a um grupo de gerenciamento
|
Este modelo é um modelo de nível de grupo de gerenciamento que criará uma definição de política e atribuirá essa política ao grupo de gerenciamento de destino. Atualmente, esse modelo não pode ser implantado por meio do Portal do Azure. |
Definição de recursos Terraform (provedor AzAPI)
O tipo de recurso policyAssignments pode ser implantado com operações que visam:
Para obter uma lista de propriedades alteradas em cada versão da API, consulte log de alterações.
Formato do recurso
Para criar um recurso Microsoft.Authorization/policyAssignments, adicione o seguinte Terraform ao seu modelo.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Authorization/policyAssignments@2025-03-01"
name = "string"
parent_id = "string"
identity {
type = "string"
identity_ids = [
"string"
]
}
location = "string"
body = {
properties = {
assignmentType = "string"
definitionVersion = "string"
description = "string"
displayName = "string"
enforcementMode = "string"
metadata = ?
nonComplianceMessages = [
{
message = "string"
policyDefinitionReferenceId = "string"
}
]
notScopes = [
"string"
]
overrides = [
{
kind = "string"
selectors = [
{
in = [
"string"
]
kind = "string"
notIn = [
"string"
]
}
]
value = "string"
}
]
parameters = {
{customized property} = {
value = ?
}
}
policyDefinitionId = "string"
resourceSelectors = [
{
name = "string"
selectors = [
{
in = [
"string"
]
kind = "string"
notIn = [
"string"
]
}
]
}
]
}
}
}
Valores de propriedade
Microsoft.Authorization/policyAssignments
| Designação | Descrição | Valor |
|---|---|---|
| identidade | A identidade gerenciada associada à atribuição de política. | Identidade |
| localização | O local da atribuição da política. Necessário apenas ao utilizar a identidade gerenciada. | cadeia (de caracteres) |
| Designação | O nome do recurso | cadeia de caracteres Restrições: Padrão = ^[^<>*%&:\?.+/]*[^<>*%&:\?.+/ ]+$ (obrigatório) |
| parent_id | A ID do recurso ao qual aplicar esse recurso de extensão. | string (obrigatório) |
| propriedades | Propriedades para a atribuição de política. | PolicyAssignmentProperties |
| tipo | O tipo de recurso | "Microsoft.Authorization/policyAssignments@2025-03-01" |
Identidade
IdentityUserAssignedIdentities
| Designação | Descrição | Valor |
|---|
NonComplianceMessage
| Designação | Descrição | Valor |
|---|---|---|
| mensagem | Uma mensagem que descreve por que um recurso não está em conformidade com a política. Isso é mostrado em mensagens de erro "negar" e nos resultados de conformidade não compatíveis do recurso. | string (obrigatório) |
| policyDefinitionReferenceId | O ID de referência de definição de política dentro de uma definição de conjunto de políticas a que a mensagem se destina. Isso só é aplicável se a atribuição de política atribuir uma definição de conjunto de políticas. Se isso não for fornecido, a mensagem se aplicará a todas as políticas atribuídas por essa atribuição de política. | cadeia (de caracteres) |
Substituir
| Designação | Descrição | Valor |
|---|---|---|
| tipo | O tipo de substituição. | 'definiçãoVersão' 'Efeito política' |
| seletores | A lista das expressões do seletor. | Seletor[] |
| valor | O valor para substituir a propriedade policy. | cadeia (de caracteres) |
ParâmetroValores
| Designação | Descrição | Valor |
|---|
ParameterValuesValue
| Designação | Descrição | Valor |
|---|---|---|
| valor | O valor do parâmetro. | qualquer |
PolicyAssignmentProperties
| Designação | Descrição | Valor |
|---|---|---|
| Tipo de atribuição | O tipo de atribuição de política. Os valores possíveis são NotSpecified, System, SystemHidden e Custom. Imutável. | 'Personalizado' 'Não especificado' 'Sistema' 'SystemHidden' |
| definiçãoVersão | A versão da definição de política a ser usada. | cadeia (de caracteres) |
| Descrição | Esta mensagem fará parte da resposta em caso de violação da política. | cadeia (de caracteres) |
| nome de exibição | O nome para exibição da atribuição de política. | cadeia (de caracteres) |
| enforcementMode | O modo de imposição de atribuição de política. Os valores possíveis são Default, DoNotEnforce e Enroll | 'Inadimplência' 'DoNotEnforce' 'Inscrever-se' |
| metadados | Os metadados de atribuição de política. Os metadados são um objeto aberto e normalmente são uma coleção de pares de valores de chave. | qualquer |
| nonComplianceMessages | As mensagens que descrevem por que um recurso não está em conformidade com a política. | NonComplianceMessage[] |
| notÂmbitos | Os escopos excluídos da política. | string[] |
| substituições | A substituição do valor da propriedade da política. | Substituir[] |
| Parâmetros | Os valores de parâmetro para a regra de política atribuída. As chaves são os nomes dos parâmetros. | ParâmetroValores |
| policyDefinitionId | A ID da definição de política ou definição de conjunto de políticas que está sendo atribuída. | cadeia (de caracteres) |
| resourceSelectors | A lista de seletores de recursos para filtrar políticas por propriedades de recursos. | ResourceSelector [] |
Seletor de Recursos
| Designação | Descrição | Valor |
|---|---|---|
| Designação | O nome do seletor de recursos. | cadeia (de caracteres) |
| seletores | A lista das expressões do seletor. | Seletor[] |
Seletor
| Designação | Descrição | Valor |
|---|---|---|
| em | A lista de valores a filtrar. | string[] |
| tipo | O tipo seletor. | 'policyDefinitionReferenceId' 'resourceLocation' 'resourceType' 'resourceWithoutLocation' |
| nãoEm | A lista de valores a filtrar. | string[] |
UserAssignedIdentitiesValue
| Designação | Descrição | Valor |
|---|
Exemplos de uso
Amostras Terraform
Um exemplo básico de implantação da Atribuição de Política.
terraform {
required_providers {
azapi = {
source = "Azure/azapi"
}
azurerm = {
source = "hashicorp/azurerm"
}
}
}
provider "azurerm" {
features {
}
}
provider "azapi" {
skip_provider_registration = false
}
variable "resource_name" {
type = string
default = "acctest0001"
}
variable "location" {
type = string
default = "eastus"
}
data "azurerm_client_config" "current" {
}
data "azapi_resource" "subscription" {
type = "Microsoft.Resources/subscriptions@2021-01-01"
resource_id = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
response_export_values = ["*"]
}
resource "azapi_resource" "policyDefinition" {
type = "Microsoft.Authorization/policyDefinitions@2021-06-01"
parent_id = "/subscriptions/${data.azurerm_client_config.current.subscription_id}"
name = var.resource_name
body = {
properties = {
description = ""
displayName = "my-policy-definition"
mode = "All"
parameters = {
allowedLocations = {
metadata = {
description = "The list of allowed locations for resources."
displayName = "Allowed locations"
strongType = "location"
}
type = "Array"
}
}
policyRule = {
if = {
not = {
field = "location"
in = "[parameters('allowedLocations')]"
}
}
then = {
effect = "audit"
}
}
policyType = "Custom"
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}
resource "azapi_resource" "policyAssignment" {
type = "Microsoft.Authorization/policyAssignments@2022-06-01"
parent_id = data.azapi_resource.subscription.id
name = var.resource_name
body = {
properties = {
displayName = ""
enforcementMode = "Default"
parameters = {
listOfAllowedLocations = {
value = [
"West Europe",
"West US 2",
"East US 2",
]
}
}
policyDefinitionId = azapi_resource.policyDefinition.id
scope = data.azapi_resource.subscription.id
}
}
schema_validation_enabled = false
response_export_values = ["*"]
}