【Azure Policy】实现拒绝新建/可以修改已存在资源的 Azure Policy 方案

news/2025/12/4 12:35:21/文章来源:https://www.cnblogs.com/lulight/p/19306461

问题描述

在使用Azure的日常工作中，很可能面临这样的情况。

为了避免资源的随意创建或是从成本考虑，只能对已有资源进行修改，不允许创建新的资源。

在Azure上，是否有方案可以实现这一需求呢？

第一时间想到的方案是使用Azure Policy。但是，在经过分析后，发现使用Policy的Deny策略，它会一锅端。任何符合要求的操作(新建，修改，删除) 都会被Deny，无法实现以上需求。

基于AI时代解决问题的新思路，问题先问大模型。得到回答如下：

Azure Policy本身是一个治理工具，它通过定义策略来控制资源的创建和配置，但它的能力有一些限制：

能否区分“新建”和“修改”？

Azure Policy主要在资源创建或更新时触发，但它无法直接判断操作是“新建”还是“修改”，因为在技术上，两者都是 PUT 请求。

Policy的effect（如 deny,audit ）会在资源属性不符合策略时生效，而不是基于操作类型。

是否可以实现“拒绝新建，允许修改”？

直接实现：不行，因为Policy无法区分首次创建和后续更新。

既然直接实现不可以，那么本文就介绍一种代替方案。

思路如下：

第一步：创建一个Audit Policy，分配到对于的资源上，然后触发策略评估

第二步：为扫描后不合规的资源添加豁免(exemption)

第三步：修改 Audit Policy 为 Deny Policy

已存在的资源就会被豁免不进行策略评估，而新建资源因为不在豁免列表中，所以会被Deny策略拒绝

操作步骤

第一步：创建一个Audit Policy

Audit Policy的范围是针对指定的区域不允许新建资源，比如中国东部二区数据中心( China East 2)

策略内容如下

{"mode": "All","policyRule": {"if": {"field": "location","In": "[parameters('disAllowedLocations')]"},"then": {"effect": "Audit"}},"parameters": {"disAllowedLocations": {"type": "Array","metadata": {"displayName": "Disallowed locations","description": "The list of allowed locations for resources.","strongType": "location"}}}
}

创建后分配，并查看Compliance结果。

PS：为避免等待，可以使用 az policy state trigger-scan --resource-group "your resource group name" 来触发策略评估

第二步：再分配中添加豁免

这里需要一个资源一个资源的添加，或者是通过一个资源选择器来添加有相同点的资源

说明：Exemption category有两个值 Waiver 和 Mitigated

Waiver 的含义 表示该资源或范围完全豁免策略评估，即策略不再对它进行合规性检查。

　　效果：策略不会再标记该资源为“不合规”，不会触发 deny 或 audit。

Mitigated的含义 表示该资源仍然不符合策略要求，但由于有补偿措施（Mitigation），所以不再视为风险。

　　效果：策略仍会评估，但在合规报告中标记为“已缓解”（Mitigated），不会影响整体合规评分。

第三步：把第一步中的 Audit Policy修改为Deny

回到第一步中创建的这个Policy Definition，点击"Edit Definition"。把

{ "effect": "Audit" }

修改为

{ "effect": "Deny" }

即可！

第四步：测试新建资源

当创建新资源的时候，会提示创建失败，因为没有通过策略评估

Deployment validation failed.

Additional details from the underlying API that might be helpful: The template deployment failed because of policy violation.

Please see details for more information.