使用Azure Policy限制全部ASM資源

Azure策略是管理Azure訂閱中的標準策略的絕佳工具。可用於建立、分配和管理策略。 這些策略將在整個資源中強制實施不一樣的規則和效果，以便這些資源符合公司標準和服務級別協議。Azure Policy 經過評估資源是否符合指定策略來知足此需求。 例如，能夠設置一項策略，僅容許環境中有特定 SKU 大小的虛擬機。 實施此策略後，將評估新資源和現有資源的符合性。 經過使用正確的策略類型，能夠確保現有資源的符合性。

下面就讓咱們來一塊兒看一下如何使用一個很是簡單的策略定義來實現限制訂閱級別上的全部Azure Service Manager（ASM，又名Classic）資源。

定義JSON文件：

{

"if": {

"field": "type",

"like": "Microsoft.Classic*"

},

"then": {

"effect": "Deny"

}

}

應用策略：

定義策略：

$definition = New-AzureRmPolicyDefinition -Name "restrict-all-asm-resources" -DisplayName "Restrict All ASM Resources" -description "This policy enables you to restrict ALL Azure Service Manager (ASM, aka Classic) resources." -Policy '.\Restrict-ALL-ASM-Resources.json' -Mode All

應用策略：

$assignment = New-AzureRMPolicyAssignment -Name 'Restrict All ASM Resources' -PolicyDefinition $definition -Scope "/subscriptions/$subscriptionId"

策略應用之後，當我試圖建立一個經典的VNet時，沒法經過驗證: