Azure İlkesi tanımları efekti değiştir

Bu modify etki, oluşturma veya güncelleştirme sırasında bir abonelikte veya kaynakta özellik veya etiket eklemek, güncelleştirmek veya kaldırmak için kullanılır. Mevcut uyumlu olmayan kaynaklar da bir düzeltme göreviyle düzeltilebilir. Değişiklik olarak ayarlanmış efektli ilke atamaları, düzeltme yapmak için yönetilen bir kimlik gerektirir. Etkiyi kullanan modify yaygın bir örnek, 'costCenter' gibi kaynaklardaki etiketleri güncelleştirmektir.

Kaynak özellikleri için değişiklik davranışında bazı nüanslar vardır. Değişiklik atlandığında senaryolar hakkında daha fazla bilgi edinin.

Tek modify bir kuralın herhangi bir sayıda işlemi olabilir. Desteklenen işlemler şunlardır:

  • Kaynak etiketlerini ekleyin, değiştirin veya kaldırın . Yalnızca etiketler kaldırılabilir. Etiketler için, hedef kaynak bir kaynak grubu olmadığı sürece Değiştir ilkesinin modu ayarlanmış indexed olmalıdır.
  • Sanal makinelerin yönetilen kimlik türünün (identity.type) değerini ekleyin veya değiştirin ve Sanal Makine Ölçek Kümeleri. yalnızca sanal makineler veya Sanal Makine Ölçek Kümeleri için öğesini değiştirebilirsinizidentity.type.
  • Belirli diğer adların değerlerini ekleyin veya değiştirin .
    • ile modifykullanılabilecek diğer adların listesini almak için Azure PowerShell 4.6.0 veya üzeri sürümlerde kullanınGet-AzPolicyAlias | Select-Object -ExpandProperty 'Aliases' | Where-Object { $_.DefaultMetadata.Attributes -eq 'Modifiable' }.

Önemli

Etiketleri yönetiyorsanız, Daha fazla işlem türü ve mevcut kaynakları düzeltme olanağı sağlayan Değiştirme Olarak Ekle yerine Değiştir'i kullanmanız önerilir. Ancak, yönetilen kimlik oluşturamıyorsanız veya Değiştir henüz kaynak özelliği için diğer adı desteklemiyorsa Ekleme önerilir.

Değerlendirmeyi değiştirme

Değişiklik, bir kaynağın oluşturulması veya güncelleştirilmesi sırasında bir Kaynak Sağlayıcısı tarafından istek işlenmeden önce değerlendirilir. İlke modify kuralının koşulu karşılandığında if , istek içeriğine işlemler uygulanır. Her modify işlem, ne zaman uygulanacağını belirleyen bir koşul belirtebilir.

Diğer ad belirtildiğinde, işlemin istek içeriğini kaynak sağlayıcısının modify reddetmesine neden olacak şekilde değiştirmediğinden emin olmak için daha fazla denetim gerçekleştirilir:

  • Diğer adın eşleneceği özellik, isteğin API sürümünde Değiştirilebilir olarak işaretlenir.
  • İşlemdeki modify belirteç türü, isteğin API sürümündeki özelliği için beklenen belirteç türüyle eşleşir.

Bu denetimlerden biri başarısız olursa, ilke değerlendirmesi belirtilen conflictEffectöğesine geri döner.

Önemli

Eşlenen özelliğin 'Değiştirilebilir' olmadığı API sürümlerini kullanarak isteklerin başarısız olmasını önlemek için Diğer adlar içeren Tanımları değiştir seçeneğinin denetim çakışması etkisini kullanması önerilir. Aynı diğer ad API sürümleri arasında farklı davranırsa, her API sürümü için kullanılan işlemi belirlemek modify için koşullu değiştirme işlemleri kullanılabilir.

Değişiklik atlandı

Değerlendirme sırasında değiştirme işlemlerinin atlandığı bazı durumlar vardır:

  • Mevcut kaynaklar: Efekti kullanan modify bir ilke tanımı bir değerlendirme döngüsünün parçası olarak çalıştırıldığında, zaten var olan kaynaklarda değişiklik yapmaz. Bunun yerine, koşulu karşılayan if tüm kaynakları uyumlu değil olarak işaretler, böylece bir düzeltme görevi aracılığıyla düzeltilebilirler.
  • Uygulanamaz: Dizideki operations bir işlemin koşulu false olarak değerlendirildiğinde, bu işlem atlanır.
  • Özellik değiştirilemez: bir işlem için belirtilen diğer ad isteğin API sürümünde değiştirilebilir değilse değerlendirme çakışma efektini kullanır. Çakışma etkisi reddet olarak ayarlanırsa istek engellenir. Çakışma etkisi denetlenecek şekilde ayarlandıysa, isteğe izin verilir, ancak modify işlem atlanır.
  • Özellik yok: İsteğin kaynak yükünde bir özellik yoksa, değişiklik atlanabilir. Bazı durumlarda, değiştirilebilir özellikler diğer özelliklerin içinde iç içe yerleştirilmiştir ve gibi Microsoft.Storage/storageAccounts/blobServices/deleteRetentionPolicy.enabledbir diğer adı vardır. Bu örnekte deleteRetentionPolicy"üst" özelliği istekte yoksa, bu özelliğin kasıtlı olarak atlandığı varsayıldığından değişiklik atlanır. Pratik bir örnek için Özellik örneği yok bölümüne gidin.
  • VM veya VMSS dışı kimlik işlemi: Değiştirme işlemi, sanal makine veya sanal makine ölçek kümesi dışındaki bir kaynakta alanı eklemeye veya değiştirmeye identity.type çalıştığında, ilke değerlendirmesi tamamen atlanır ve böylece değişiklik yapılmaz. Bu durumda, kaynak ilke için geçerli değildir.

Özellik yok örneği

Kaynak özelliklerinin değiştirilmesi API isteğine ve güncelleştirilmiş kaynak yüküne bağlıdır. Yük, Azure portalı gibi kullanılan istemciye ve kaynak sağlayıcısı gibi diğer faktörlere bağlı olabilir.

Bir sanal makinede (VM) etiketleri değiştiren bir ilke uyguladığınızı düşünün. Yeniden boyutlandırma veya disk değişiklikleri gibi VM her güncelleştirildiğinde, vm yükünün içeriği ne olursa olsun etiketler buna göre güncelleştirilir. Bunun nedeni etiketlerin VM özelliklerinden bağımsız olmasıdır.

Ancak, bir VM'de özellikleri değiştiren bir ilke uygularsanız, değişiklik kaynak yüküne bağlıdır. Güncelleştirme yüküne dahil olmayan özellikleri değiştirmeye çalışırsanız, değişiklik gerçekleşmez. Örneğin, bir VM'nin özelliğine assessmentMode (diğer ad Microsoft.Compute/virtualMachines/osProfile.windowsConfiguration.patchSettings.assessmentMode) düzeltme eki uygulanırken bu durum oluşabilir. Özelliği "iç içe" olduğundan, üst özellikleri isteğe dahil değilse, bu eksiklik kasıtlı olduğu varsayılır ve değişiklik atlanır. Değişikliklerin gerçekleşmesi için kaynak yükü bu bağlamı içermelidir.

Özellikleri değiştirme

details efektinin modify özelliği, düzeltme için gereken izinleri tanımlayan ve operations etiket değerlerini eklemek, güncelleştirmek veya kaldırmak için kullanılan tüm alt özelliklere sahiptir.

  • roleDefinitionIds (gerekli)
    • Bu özellik, abonelik tarafından erişilebilen rol tabanlı erişim denetimi rol kimliğiyle eşleşen bir dizi dize içermelidir. Daha fazla bilgi için bkz . düzeltme - ilke tanımını yapılandırma.
    • Tanımlanan rol, Katkıda Bulunan rolüne verilen tüm işlemleri içermelidir.
  • conflictEffect (isteğe bağlı)
    • Aynı özelliği birden fazla ilke tanımı değiştirirse veya işlem belirtilen diğer ad üzerinde çalışmazsa hangi ilke tanımının modify "kazandığını" belirler.
      • Yeni veya güncelleştirilmiş kaynaklar için reddetme içeren ilke tanımı önceliklidir. Denetimli ilke tanımları tümünü operationsatlar. Birden fazla ilke tanımı reddetme etkisine sahipse, istek çakışma olarak reddedilir. Tüm ilke tanımlarında denetim varsa, çakışan ilke tanımlarından hiçbiri operations işlenmez.
      • Mevcut kaynaklar için, birden fazla ilke tanımının etki reddetmesi varsa, uyumluluk durumu Çakışmadır. Etki reddeden bir veya daha az ilke tanımı varsa, her atama Uyumlu değil uyumluluk durumunu döndürür.
    • Kullanılabilir değerler: denetim, reddetme, devre dışı.
    • Varsayılan değer reddet'tir.
  • operations (gerekli)
    • Eşleşen kaynaklarda tamamlanacak tüm etiket işlemlerinin dizisi.
    • Özellikler:
      • operation (gerekli)
        • Eşleşen bir kaynakta hangi eylemin gerçekleştireceklerini tanımlar. Seçenekler şunlardır: addOrReplace, Addve Remove.
        • Addekleme efektine benzer şekilde davranır.
        • Remove yalnızca kaynak etiketleri için desteklenir.
      • field (gerekli)
        • Eklenecek, değiştirilecek veya kaldırılacak etiket. Etiket adları, diğer alanlar için aynı adlandırma kuralına uymalıdır.
      • value (isteğe bağlı)
        • Etiketin ayarlanacağı değer.
        • addOrReplace veya Add ise operation bu özellik gereklidir.
      • condition (isteğe bağlı)
        • true veya false olarak değerlendirilen İlke işlevlerine sahip bir Azure İlkesi dil ifadesi içeren dize.
        • Şu İlke işlevlerini desteklemez: field(), resourceGroup(), subscription().

İşlemleri değiştirme

operations özellik dizisi, tek bir ilke tanımından farklı şekillerde çeşitli etiketlerin değiştirilmesini mümkün kılar. Her işlem , fieldve value özelliklerinden oluşuroperation. operation, düzeltme görevinin etiketlere ne yaptığını belirler, field hangi etiketin değiştirildiğini belirler ve value bu etiket için yeni ayarı tanımlar. Aşağıdaki örnek aşağıdaki etiket değişikliklerini yapar:

  • environment Farklı bir değerle zaten mevcut olsa bile etiketi "Test" olarak ayarlar.
  • etiketini TempResourcekaldırır.
  • Etiketi, Dept ilke ataması üzerinde yapılandırılan DeptName ilke parametresine ayarlar.
"details": {
  ...
  "operations": [
    {
      "operation": "addOrReplace",
      "field": "tags['environment']",
      "value": "Test"
    },
    {
      "operation": "Remove",
      "field": "tags['TempResource']",
    },
    {
      "operation": "addOrReplace",
      "field": "tags['Dept']",
      "value": "[parameters('DeptName')]"
    }
  ]
}

operation özelliği aşağıdaki seçeneklere sahiptir:

Operasyon Açıklama
addOrReplace Özellik veya etiket farklı bir değerle zaten mevcut olsa bile tanımlı özelliği veya etiketi ve değeri kaynağa ekler.
add Tanımlı özelliği veya etiketi ve değeri kaynağa ekler.
remove Tanımlı etiketi kaynaktan kaldırır. Yalnızca etiketler için desteklenir.

Örnekleri değiştirme

Örnek 1: Etiketi ekleyin environment ve mevcut environment etiketleri "Test" ile değiştirin:

"then": {
  "effect": "modify",
  "details": {
    "roleDefinitionIds": [
      "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
    ],
    "operations": [
      {
        "operation": "addOrReplace",
        "field": "tags['environment']",
        "value": "Test"
      }
    ]
  }
}

Örnek 2: Etiketi kaldırın env ve etiketi ekleyin environment veya mevcut environment etiketleri parametreli bir değerle değiştirin:

"then": {
  "effect": "modify",
  "details": {
    "roleDefinitionIds": [
      "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
    ],
    "conflictEffect": "deny",
    "operations": [
      {
        "operation": "Remove",
        "field": "tags['env']"
      },
      {
        "operation": "addOrReplace",
        "field": "tags['environment']",
        "value": "[parameters('tagValue')]"
      }
    ]
  }
}

Örnek 3: Depolama hesabının blob genel erişimine izin vermediğinden emin olun, modify işlem yalnızca API sürümü daha büyük veya değerine eşit olan istekler 2019-04-01değerlendirilirken uygulanır:

"then": {
  "effect": "modify",
  "details": {
    "roleDefinitionIds": [
      "/providers/microsoft.authorization/roleDefinitions/17d1049b-9a84-46fb-8f53-869881c3d3ab"
    ],
    "conflictEffect": "audit",
    "operations": [
      {
        "condition": "[greaterOrEquals(requestContext().apiVersion, '2019-04-01')]",
        "operation": "addOrReplace",
        "field": "Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
        "value": false
      }
    ]
  }
}

Sonraki adımlar