Я хочу создать подписку Azure, в которой нельзя создавать ресурсы, которые могут напрямую получать доступ к Интернету, а вместо этого их нужно направлять обратно на локальное устройство.
Я создал следующую Политику и применил ее к подписке
{
"if": {
"anyOf": [
{
"source": "action",
"like": "Microsoft.Network/publicIPAddresses/*"
}
]
},
"then": {
"effect": "deny"
}
Однако похоже, что доступ в Интернет все еще возможен. Нужно ли нам создавать настраиваемые UDR для всех подсетей, чтобы направлять весь трафик 0.0.0.0/0 обратно в локальную среду?
Кстати, в AWS создание подобного SCP было довольно просто: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_5