Создание политики Azure, запрещающей доступ к Интернету напрямую из подписки

Я хочу создать подписку Azure, в которой нельзя создавать ресурсы, которые могут иметь прямой доступ к Интернету, и вместо этого их необходимо перенаправить обратно на локальное устройство.

Я создал следующую Политику и применил ее к подписке

 {
"if": {
  "anyOf": [
    {
      "source": "action",
      "like": "Microsoft.Network/publicIPAddresses/*"
    }
  ]
},
"then": {
  "effect": "deny"
}

Однако, похоже, доступ к Интернету все еще возможен. Нужно ли нам создавать пользовательские UDR для всех подсетей, чтобы перенаправлять весь трафик 0.0.0.0/0 обратно на площадку?

Кстати, в AWS создание аналогичного SCP было довольно простым: https: / /docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_5

0
задан Juraj Lisiak 26 June 2019 в 21:51
поделиться