问题描述
在 Azure 平台中,当使用Azure Policy配置了非常多的策略定义时,想快速了解这些策略对资源创建的影响和限制,并批量导出策略的方法。Azure Policy 门户确没有直接的导出功能,所以只好借助 Azure Resource Graph 查询策略分配、符合性状态以及策略定义的详细信息,实现导出的目的。
问题解答
Azure Policy 本身不提供批量导出按钮,但可以通过 Azure Resource Graph Explorer 编写 KQL 查询,获取策略相关数据并导出为 CSV 文件。
本文中提供了三类核心查询语句,分别用于 策略分配信息、不合规资源统计 和 策略定义详情。这些查询不仅能帮助快速定位策略影响,还能支持后续合规性分析和治理优化。
查询语句一:获取所有已分配策略(Policy Assignments)
KQL 语句
policyresources | where type == "microsoft.authorization/policyassignments" | project assignmentName = name, scope = tostring(properties.scope), // 分配范围(订阅/资源组) policyDefinitionId = tostring(properties.policyDefinitionId), // 关联的策略定义ID displayName = tostring(properties.displayName), enforcementMode = tostring(properties.enforcementMode),// 执行模式(Enabled/Disabled) assignedBy = tostring(properties.metadata.assignedBy), // 分配操作人 createdBy = tostring(properties.metadata.createdBy) // 创建者(服务主体/用户ID) | order by scope asc
介绍
该查询用于列出当前 Azure 环境中所有已分配的策略,包括策略名称、分配范围(订阅或资源组)、关联的策略定义 ID、显示名称、执行模式(Enabled/Disabled)、分配人和创建者信息。
通过这些字段,管理员可以快速了解策略的应用范围和责任人,便于后续治理和审计。
查询结果可导出为 CSV 文件,支持进一步分析或归档。
查询语句二:统计不合规资源数量
KQL 语句
policyresources | where type == "microsoft.policyinsights/policystates" | where properties.complianceState == "NonCompliant" | summarize blockedCount=count() by policyDefinitionName = tostring(properties.policyDefinitionName), resourceType = tostring(properties.resourceType) | order by blockedCount desc
介绍
该查询用于统计所有处于“不合规”状态的资源数量,并按策略名称和资源类型分组排序。
管理员可以快速识别哪些策略导致最多的合规性问题,帮助优先处理高影响策略。通过 blockedCount 字段,可以量化策略的影响范围,结合资源类型信息,制定针对性的整改计划。
此查询非常适合用于合规性报告和治理优化。
查询语句三:获取策略定义详情
KQL 语句
policyresources | where type == "microsoft.authorization/policydefinitions" // 筛选策略定义资源类型 | extend policyDefinitionId = id, displayName = tostring(properties.displayName), // 策略显示名称 description = tostring(properties.description), // 策略描述 effectType = tostring(properties.policyRule.then.effect) // 策略效果(deny/audit) | project properties, name, policyDefinitionId, displayName, description, effectType, category = tostring(properties.metadata.category) | order by category asc
介绍
该查询用于获取策略定义的详细信息,包括策略 ID、显示名称、描述、策略效果(如 deny、audit)以及分类。
通过这些信息,管理员可以全面了解策略的功能和用途,便于策略优化和分类管理。结合 category 字段,可以按策略类别进行排序,快速定位特定类型的策略(如安全、网络、合规)。
此查询适用于策略库维护和治理策略审查场景
参考资料
使用 Azure 门户运行 Resource Graph 查询 : https://learn.microsoft.com/azure/governance/resource-graph/first-query-portal
Azure Resource Graph sample queries for Azure Policy : https://learn.microsoft.com/azure/governance/policy/samples/resource-graph-samples
Azure Policy 文档 : https://learn.microsoft.com/azure/governance/policy/
当在复杂的环境中面临问题,格物之道需:浊而静之徐清,安以动之徐生。 云中,恰是如此!
