Resolver erros de solicitação não permitida pela política

Ao implantar um modelo do ARM (modelo do Azure Resource Manager) ou um arquivo Bicep, você recebe o RequestDisallowedByPolicy erro quando um dos recursos a serem implantados não está em conformidade com um Azure Policy existente.

Sintoma

Durante uma implantação, você pode receber um erro RequestDisallowedByPolicy que o impede de criar um recurso. A CLI do Azure, o Azure PowerShell e o log de atividades do portal do Azure mostram informações semelhantes sobre o erro. Os principais elementos são o código de erro, a atribuição de política e a definição de política.

"statusMessage": "{"error":{"code":"RequestDisallowedByPolicy", "target":"examplenic1207",
  "message":"Resource `examplenic1207` was disallowed by policy. Policy identifiers:

"policyAssignment":{"name":"Network interfaces should not have public IPs",
  "id":"/subscriptions/{guid}/providers/Microsoft.Authorization/policyAssignments/1111aa2222bb3333cc4444dd"}

"policyDefinition":{"name":"Network interfaces should not have public IPs",
  "id":"/subscriptions/{guid}/providers/Microsoft.Authorization/policyDefinitions/83a86a26-fd1f-447c-b59d-e51f44264114"}

Na cadeia de caracteres id, o espaço reservado {guid} representa uma ID de assinatura do Azure. O nome de um policyAssignment ou policyDefinition é o último segmento da cadeia de caracteres id.

Motivo

Sua organização atribui políticas para impor padrões organizacionais e avaliar a conformidade em escala. Se você estiver tentando implantar um recurso que viole uma política, a implantação será bloqueada.

Por exemplo, sua assinatura pode ter uma política que impede IPs públicos em interfaces de rede. Se você tentar criar uma interface de rede com um endereço IP público, a política impedirá que você crie a interface de rede.

Solução

Para resolver o RequestDisallowedByPolicy erro ao implantar um modelo do ARM ou um arquivo Bicep, você precisa encontrar qual política está bloqueando a implantação. Dentro dessa política, você precisa examinar as regras para que possa atualizar sua implementação para estar em conformidade com a política.

A mensagem de erro inclui os nomes da definição de política e da atribuição de política que causou o erro. Você precisa desses nomes para obter mais informações sobre a política.

az policy definition show --name {policy-name}

az policy assignment show --name {assignment-name} --resource-group {resource-group-name}

$subid = (Get-AzContext).Subscription.Id
$defname = "<policy definition name>"
(Get-AzPolicyDefinition -Id "/subscriptions/$subid/providers/Microsoft.Authorization/policyDefinitions") |
  Where-Object -Property Name -EQ -Value $defname |
    ConvertTo-Json -Depth 10

$rg = Get-AzResourceGroup -Name "<resource group name>"
$assignmentname = "<policy assignment name>"
Get-AzPolicyAssignment -Name $assignmentname -Scope $rg.ResourceId | ConvertTo-Json -Depth 5

Dentro da definição de política, você verá uma descrição da política e das regras que são aplicadas. Examine as regras e atualize o modelo do ARM ou o arquivo Bicep para cumprir as regras. Por exemplo, se a regra indicar que o acesso à rede pública está desabilitado, você precisará atualizar as propriedades de recurso correspondentes.

Para obter mais informações, consulte os seguintes artigos:

• O que é o Azure Policy?
• Tutorial: Criar e gerenciar políticas para impor a conformidade
• Definições de política interna do Azure Policy