Я пытаюсь создать политику Azure, которая будет проверять мои NSG.
Мне нужно проверить, содержат ли мои группы безопасности сети правило, в котором источник и пункт назначения совпадают и являются ли оба IP-адресами (то есть не «виртуальной машиной»)
На данный момент у меня есть следующее:
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/networkSecurityGroups"
},
{
"count": {
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*]",
"where": {
"allOf": [
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].sourcePortRange",
"equals": "*"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].destinationPortRange",
"equals": "*"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].sourceAddressPrefix",
"match": "Microsoft.Network/networkSecurityGroups/securityRules[*].destinationAddressPrefix"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].destinationAddressPrefix",
"match": "Microsoft.Network/networkSecurityGroups/securityRules[*].sourceAddressPrefix"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].access",
"equals": "Allow"
},
{
"field": "Microsoft.Network/networkSecurityGroups/securityRules[*].direction",
"equals": "Inbound"
}
]
}
},
"notEquals": 1
}
]
},
"then": {
"effect": "audit"
}
},
"parameters": {}
}
Однако это говорит о том, что все мои группы поддержки не соответствуют требованиям, хотя я знаю, что некоторые из них соответствуют.
Это возможно?
заранее спасибо