【Azure Policy】使用Azure Policy来精准控制资源的创建类型

2025-06-25 41

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

任务调度 XXL-JOB 版免费试用，400 元额度，开发版规格

Serverless 应用引擎免费试用套餐包，4320000 CU，有效期3个月

可观测可视化 Grafana 版，10个用户账号 1个月

简介： 本文介绍了如何在 Azure 中使用 Azure Policy 的 Deny 策略，阻止创建 AI 服务中的 Document Intelligence 资源。通过定义策略规则，结合资源类型和 Kind 属性，实现精准限制，并附有示例代码及验证结果。

问题描述

在 Azure 中使用 Azure Policy 来禁止创建某些资源，是一种非常有效的治理手段。可以通过定义策略（Policy Definition）并分配（Assignment）到订阅或资源组，来实现对资源创建的限制。

下面将介绍使用Deny策略来阻止创建 Azure AI services 中的 Document intelligence资源。

问题解答

在使用Deny的策略中，用 if 条件来匹配需要禁止的资源类型，比如虚拟机的资源类型为 Microsoft.Compute/virtualMachines。它的PolicyRule设置就非常简单，只需要一个条件就可以。

示例如下：

"policyRule": {
      "if": {
        "field": "type",
        "equals": "Microsoft.Compute/virtualMachines"
      },
      "then": {
        "effect": "deny"
      }
    }

对于Azure AI services 中的 Document intelligence资源, 只根据类型 type 为 Microsoft.CognitiveServices/accounts 就无法实现精准判断 Document Intelligence资源，因为Anomaly detector，Content moderator等资源的类型都是Microsoft.CognitiveServices/accounts。

根据对Document Intelligence的资源文件进行分析，发现他们之间使用Kind属性值进行区分。比如：

Document intelligence 的Kind值为FormRecognizer
Anomaly detector 的Kind值为AnomalyDetector
Content moderator 的Kind值为ContentModerator

所以，可以使用如下的PolicyRule来实现禁止创建Document intelligence资源：

{
  "mode": "All",
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.CognitiveServices/accounts"
        },
        {
          "field": "Kind",
          "equals": "FormRecognizer"
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {}
}