تعريفات نهج Azure تأثير الرفض
denyAction يتم استخدام التأثير لحظر الطلبات استنادا إلى الإجراء المقصود للموارد على نطاق واسع. الإجراء الوحيد المدعوم اليوم هو DELETE. يساعد هذا التأثير واسم الإجراء على منع أي حذف عرضي للموارد الهامة.
تقييم DenyAction
عند إرسال استدعاء طلب باسم إجراء قابل للتطبيق ونطاق مستهدف، denyAction يمنع الطلب من النجاح. يتم إرجاع الطلب كـ 403 (Forbidden). في المدخل، Forbidden يمكن عرض كحالة نشر تم منعها بواسطة تعيين النهج.
Microsoft.Authorization/policyAssignments
Microsoft.Authorization/denyAssignments
Microsoft.Blueprint/blueprintAssignments
Microsoft.Resources/subscriptions
Microsoft.Resources/deploymentStacks
Microsoft.Authorization/locks و و جميعها معفاة من denyAction الإنفاذ لمنع سيناريوهات التأمين.
حذف الاشتراك
لا يمنع النهج إزالة الموارد التي تحدث أثناء حذف الاشتراك.
حذف مجموعة الموارد
يقيم النهج الموارد التي تدعم الموقع والعلامات مقابل denyAction النهج أثناء حذف مجموعة الموارد. تحظر النهج التي تم cascadeBehaviors تعيينها إلى deny في قاعدة النهج فقط حذف مجموعة الموارد. لا يمنع النهج إزالة الموارد التي لا تدعم الموقع والعلامات ولا أي نهج مع mode:all.
تتالي الحذف
يحدث الحذف المتتالي عند حذف مورد أصل بشكل ضمني لحذف كافة موارده التابعة والملحقة. لا يمنع النهج إزالة الموارد التابعة والملحقة عندما يستهدف إجراء الحذف الموارد الأصلية. على سبيل المثال، Microsoft.Insights/diagnosticSettings هو مورد ملحق ل Microsoft.Storage/storageaccounts.
denyAction إذا كان نهج يستهدف Microsoft.Insights/diagnosticSettings، يفشل استدعاء حذف لإعداد التشخيص (التابع)، ولكن الحذف إلى حساب التخزين (الأصل) يحذف ضمنيا إعداد التشخيص (الملحق).
يصف هذا الجدول ما إذا كان المورد محميا من الحذف نظرا للمورد المطبق على النهج المعين denyAction والنطاق المستهدف للاتصال DELETE . في سياق هذا الجدول، المورد المفهرس هو المورد الذي يدعم العلامات والمواقع والمورد غير المفهرس هو المورد الذي لا يدعم العلامات أو المواقع. لمزيد من المعلومات حول الموارد المفهرسة وغير المفهرسة، انتقل إلى وضع التعريف. الموارد التابعة هي الموارد التي توجد فقط في سياق مورد آخر. على سبيل المثال، مورد ملحق الأجهزة الظاهرية هو تابع للجهاز الظاهري، وهو المورد الأصل.
| الكيان الذي يتم حذفه | الكيان المطبق على شروط النهج | الإجراءات المتخذة |
|---|---|---|
| Resource | Resource | محمي |
| الاشتراك | Resource | تم الحذف |
| مجموعة الموارد | مورد مفهرس | يعتمد على cascadeBehaviors |
| مجموعة الموارد | مورد غير مفهرس | تم الحذف |
| مورد تابع | المورد الأصل | الوالد محمي؛ تم حذف الطفل |
| المورد الأصل | مورد تابع | تم الحذف |
خصائص DenyAction
تحتوي details خاصية التأثير على denyAction كافة الخصائص الفرعية التي تحدد الإجراء والسلوكيات.
-
actionNames(مطلوب)- صفيف يحدد الإجراءات التي يجب منع تنفيذها.
- أسماء الإجراءات المدعومة هي:
delete.
-
cascadeBehaviors(اختياري)- كائن يحدد السلوك الذي يتم اتباعه عند حذف مورد ضمنيا عند إزالة مجموعة موارد.
- معتمد فقط في تعريفات النهج مع تعيين الوضع إلى
indexed. - القيم المسموح بها هي
allowأوdeny. - القيمة الافتراضية هي
deny.
مثال على DenyAction
مثال: رفض أي مكالمات حذف تستهدف حسابات قاعدة البيانات التي تحتوي على بيئة علامة تساوي prod. نظرا لتعيين السلوك المتتالي للرفض، قم بحظر أي DELETE استدعاء يستهدف مجموعة موارد بحساب قاعدة بيانات قابل للتطبيق.
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.DocumentDb/accounts"
},
{
"field": "tags.environment",
"equals": "prod"
}
]
},
"then": {
"effect": "denyAction",
"details": {
"actionNames": [
"delete"
],
"cascadeBehaviors": {
"resourceGroup": "deny"
}
}
}
}
الخطوات التالية
- راجع الأمثلة في نماذج نهج Azure.
- راجع بنية تعريف نهج Azure.
- التعرف على كيفية إنشاء النُهج برمجيًا.
- تعرف على كيفية الحصول على بيانات التوافق.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.
- راجع مجموعات إدارة Azure.