Azure 管理组全部拒绝

Posted

技术标签:

【中文标题】Azure 管理组全部拒绝【英文标题】:Azure Management Group Deny all 【发布时间】:2021-11-05 06:38:13 【问题描述】:

很抱歉这个基本主题,但我对 azure 管理组和政策感到很困惑。

我有一个production 订阅,我想拒绝所有手动创建资源,只允许将资源创建为代码。

这意味着,如果我尝试从门户创建或更改资源,则会出现错误,但如果我想使用 terraform 或 bicep 创建资源,则可以使用终端执行此操作。

所以我做了什么,在我的Management Groups 中添加了一个子组并分配了订阅。在子组上,我创建了拒绝所有Microsoft.* 的策略,如下所示:


 "mode": "All",
 "policyRule": 
   "if": 
     "field": "type",
     "like": "Microsoft.*"
  ,
  "then": 
    "effect": "deny"
  
 

这工作得很好,但是我如何仍然能够使用终端创建带有 terraform 或 bicep 的资源? 或者也许有人可以建议我如何解决这个问题的更好方法?

非常感谢

【问题讨论】:

this 有帮助吗? 【参考方案1】:

如果您应用此策略,它也将适用于服务主体。

更好的方法是限制用户(如阅读器)的 RBAC 并仅使用服务主体将资源部署到 Azure。这是一种更简单的方法。

【讨论】:

以上是关于Azure 管理组全部拒绝的主要内容,如果未能解决你的问题,请参考以下文章

无法在 Azure 中创建新的管理组 - New-AzManagementGroup

azure arm 策略拒绝没有标签的资源组

在 terraform 的 azure 数据资源管理器中使用 eventthub 的默认消费者组

使用 Azure 管理 API 列出容器组失败并出现 System.Net.Sockets.SocketException

14.Azure流量管理器(下)

14.Azure流量管理器(下)