Блог

Главная - Вопросы по программированию - Ошибка при развертывании определения политики «параметр не найден»

Ошибка при развертывании определения политики «параметр не найден»

#azure #azure-policy

Вопрос:

Я пытаюсь развернуть политику azure с помощью шаблона ARM. Это мой файл определения . Ошибка, которую я получаю, такова Status Message: Unable to process template language expressions for resource '/subscriptions/xxx/providers/Microsoft.Authorization/policyDefinitions/deploy-rg-lock' at line '13' and column '9'. 'The template parameter 'tagName' is not found. Please see https://aka.ms/arm-template/#parameters for usage details.' (Code:InvalidTemplate) 

 {
  "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyDefinitionName": {
      "type": "string"
    }
  },
  "resources": [{
    "type": "Microsoft.Authorization/policyDefinitions",
    "name": "[parameters('policyDefinitionName')]",
    "apiVersion": "2019-09-01",
    "properties": {
        "displayName": "Lock Resource Group based on tags",
        "policyType": "Custom",
        "mode": "All",
        "description": "This policy locks a resource group if the tag mentioned in the parameter is not present",
        "metadata": {
          "category": "Tags"
        },
        "parameters": {
            "tagName": {
            "type": "String",
            "metadata": {
                "displayName": "Tag Name",
                "description": "Tag name to prevent resource lock"
            }
            },
            "tagValue": {
            "type": "String",
            "metadata": {
                "displayName": "Tag Value",
                "description": "Tag value to prevent resource lock"
                    }
                }   
            },
        "policyRule": {
            "if": {
            "allOf": [
                {
                "field": "type",
                "equals": "Microsoft.Resources/subscriptions/resourceGroups"
                },
                {
                "field": "[concat('tags[', parameters('tagName'), ']')]",
                "notEquals": "[parameters('tagValue')]"
                }
            ]
            },
            "then": {
            "effect": "deployIfNotExists",
            "details": {
                "type": "Microsoft.Authorization/locks",
                "roleDefinitionIds": [
                    "/providers/microsoft.authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
                  ],
                "existenceCondition": {
                "field": "Microsoft.Authorization/locks/level",
                "equals": "CanNotDelete"
                },
                "deployment": {
                    "properties": {
                      "mode": "incremental",
                      "template": {
                        "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
                        "contentVersion": "1.0.0.0",
                        "resources": [
                        {
                            "name": "PolicyDeleteLock",
                            "type": "Microsoft.Authorization/locks",
                            "apiVersion": "2016-09-01",
                            "properties": {
                            "level": "CanNotDelete",
                            "notes": "Set by policy RG_ResourceLockCheck"
                            }
                        }
                        ],
                        "outputs": {
                          "policy": {
                            "type": "string",
                            "value": "locked RG"
                          }
                        }
                      }
                    }
                  }
                }
            }
        }
        }
    }]
}

Ответ №1:

Внутри вашего правила политики вам необходимо избегать выражений РУК с помощью дополнительной открывающей скобки, чтобы они не оценивались на верхнем уровне. Например, в строке 45:

 "field": "[concat('tags[', parameters('tagName'), ']')]"

Должно стать:

 "field": "[[concat('tags[', parameters('tagName'), ']')]"

(Обратите внимание, что дополнительной закрывающей скобки нет. Это немного странно, но именно так вы должны это делать)

Сделайте это для всех выражений ARM внутри правила политики, и это должно сработать.

Ответ №2:

Вы tagName также можете определить параметры tagValue и.

Таким образом, добавление параметров, как я применил ниже, решит проблему.

 { 

    "$schema": "https://schema.management.azure.com/schemas/2018-05-01/subscriptionDeploymentTemplate.json#", 

    "contentVersion": "1.0.0.0", 

    "parameters": { 

      "policyDefinitionName": { 

        "type": "string" 

       }, 
# define tag name and tag value 
      "tagName":{ 

         "type": "string" 

     }, 

     "tagValue": { 

         "type": "string" 

     }, 

     "policyDefinitionID": { 

      "type": "string" 

      } 

    }, 

      "resources": [{ 

      "type": "Microsoft.Authorization/policyDefinitions", 

      "name": "[parameters('policyDefinitionName')]", 

      "apiVersion": "2019-09-01", 

      "properties": { 

          "displayName": "Lock Resource Group based on tags", 

          "policyType": "Custom", 

          "mode": "All", 

          "description": "This policy locks a resource group if the tag mentioned in the parameter is not present", 

          "metadata": { 

            "category": "tags" 

          }, 

          "parameters": { 

              "": { 

              "type": "String", 

              "metadata": { 

                  "displayName": "Cannot Delete", 

                  "description": "Tag name to prevent resource lock" 

              } 

              }, 

              "tagValue": { 

              "type": "String", 

              "metadata": { 

                  "displayName": "Tag Value", 

                  "description": "Tag value to prevent resource lock" 

                      } 

                  }    

              }, 

          "policyRule": { 

              "if": { 

              "allOf": [ 

                  { 

                  "field": "type", 

                  "equals": "Microsoft.Resources/subscriptions/resourceGroups" 

                  }, 

                  { 

                  "field": "[concat('Tags[', parameters('tagName'), ']')]", 

                  "notEquals": "[parameters('tagValue')]" 

                  } 

              ] 

              }, 

              "then": { 

              "effect": "deployIfNotExists", 

              "details": { 

                  "type": "Microsoft.Authorization/locks", 

                  "roleDefinitionIds": [ 

                      "[parameters('policyDefinitionID')]" 

                    ], 

                  "existenceCondition": { 

                  "field": "Microsoft.Authorization/locks/level", 

                  "equals": "CanNotDelete" 

                  }, 

                  "deployment": { 

                      "properties": { 

                        "mode": "incremental", 

                        "template": { 

                          "$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#", 

                          "contentVersion": "1.0.0.0", 

                          "resources": [ 

                          { 

                              "name": "PolicyDeleteLock", 

                              "type": "Microsoft.Authorization/locks", 

                              "apiVersion": "2016-09-01", 

                              "properties": { 

                              "level": "CanNotDelete", 

                              "notes": "Set by policy RG_ResourceLockCheck" 

                              } 

                          } 

                          ], 

                          "outputs": { 

                            "policy": { 

                              "type": "string", 

                              "value": "locked RG" 

                            } 

                          } 

                        } 

                      } 

                    } 

                  } 

              } 

          } 

          } 

      }] 

  }

Он выполнит команду после подачи команды

введите описание изображения здесь

Комментарии:

1. Да, он был определен , но не в блоке параметров, а в блоке ресурсов. таким образом, когда код ссылался, он не смог найти параметр в блоке параметров.

Метки: