Estou tentando criar uma política do Azure que audite meus NSGs.
Preciso verificar se meus NSGs contêm uma regra em que a origem e o destino correspondem e são endereços IP (portanto, não "Máquina Virtual")
Atualmente tenho o seguinte:
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/networkSecurityGroups"
},
{
"count": {
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*]",
"where": {
"allOf": [
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].sourcePortRange",
"equals": "*"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].destinationPortRange",
"equals": "*"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].sourceAddressPrefix",
"match": "Microsoft.Network/networkSecurityGroups/securityRules[*].destinationAddressPrefix"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].destinationAddressPrefix",
"match": "Microsoft.Network/networkSecurityGroups/securityRules[*].sourceAddressPrefix"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].access",
"equals": "Allow"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].direction",
"equals": "Inbound"
}
]
}
},
"notEquals": 1
}
]
},
"then": {
"effect": "audit"
}
},
"parameters": {}
}
No entanto, isso indica que todos os meus NSGs não estão em conformidade, embora eu saiba que alguns deles estão.
Isso é possível?
desde já, obrigado