Создание политики Azure, предотвращающей доступ в Интернет напрямую из подписки

Я хочу создать подписку Azure, в которой нельзя создавать ресурсы, которые могут напрямую получать доступ к Интернету, а вместо этого их нужно направлять обратно на локальное устройство.

Я создал следующую Политику и применил ее к подписке

 {
"if": {
  "anyOf": [
    {
      "source": "action",
      "like": "Microsoft.Network/publicIPAddresses/*"
    }
  ]
},
"then": {
  "effect": "deny"
}

Однако похоже, что доступ в Интернет все еще возможен. Нужно ли нам создавать настраиваемые UDR для всех подсетей, чтобы направлять весь трафик 0.0.0.0/0 обратно в локальную среду?

Кстати, в AWS создание подобного SCP было довольно просто: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_5


amazon-web-services azure-policy
person Juraj Lisiak    schedule 26.06.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Политика работает на основе псевдонимов, поэтому вы должны искать допустимые псевдонимы. Microsoft.Network/publicIDaddress не один. Информацию о том, как получить псевдонимы.

Если вы ищете шлюз приложений, псевдонимы Microsoft.Network/applicationGateways/frontendIPConfigurations[*].publicIPAddress

person Kemley    schedule 13.12.2019
comment
Хорошо, а затем я бы просто направил трафик 0.0.0.0 обратно в VPN? - person Juraj Lisiak; 15.12.2019
comment
Я понял, что ваша общая структура определения политики неверна. Вы могли бы что-то сделать с полем и типом, чтобы, если какой-либо из шлюзов applicationGateways не равен 0.0.0.0, то запретил. Дополнительную информацию о структуре определения см. Здесь: docs.microsoft .com / ru-ru / лазурное / управление / политика / концепции / - person Kemley; 16.01.2020