Risolvere gli errori per la richiesta non consentita dai criteri

Quando si distribuisce un modello di Azure Resource Manager (modello arm) o un file Bicep, viene visualizzato l'errore RequestDisallowedByPolicy quando una delle risorse da distribuire non è conforme a criteri di Azure esistenti.

Sintomo

Durante la distribuzione, è possibile che venga visualizzato un errore RequestDisallowedByPolicy che impedisce la creazione di una risorsa. L'interfaccia della riga di comando di Azure, Azure PowerShell e il log attività del portale di Azure mostrano informazioni simili sull'errore. Gli elementi chiave sono il codice di errore, l'assegnazione dei criteri e la definizione dei criteri.

"statusMessage": "{"error":{"code":"RequestDisallowedByPolicy", "target":"examplenic1207",
  "message":"Resource `examplenic1207` was disallowed by policy. Policy identifiers:

"policyAssignment":{"name":"Network interfaces should not have public IPs",
  "id":"/subscriptions/{guid}/providers/Microsoft.Authorization/policyAssignments/1111aa2222bb3333cc4444dd"}

"policyDefinition":{"name":"Network interfaces should not have public IPs",
  "id":"/subscriptions/{guid}/providers/Microsoft.Authorization/policyDefinitions/83a86a26-fd1f-447c-b59d-e51f44264114"}

Nella stringa id il segnaposto {guid} rappresenta un ID sottoscrizione di Azure. Il nome di un policyAssignment o policyDefinition è l'ultimo segmento della stringa id.

Motivo

L'organizzazione assegna criteri per applicare gli standard dell'organizzazione e per valutare la conformità su larga scala. Se si sta tentando di distribuire una risorsa che viola un criterio, la distribuzione viene bloccata.

Ad esempio, la sottoscrizione può avere un criterio che impedisce indirizzi IP pubblici nelle interfacce di rete. Se si tenta di creare un'interfaccia di rete con un indirizzo IP pubblico, i criteri impediscono di creare l'interfaccia di rete.

Soluzione

Per risolvere l'errore RequestDisallowedByPolicy quando si distribuisce un modello ARM o un file Bicep, è necessario individuare quale criterio blocca la distribuzione. All'interno di tale politica, è necessario esaminare le regole affinché si possa aggiornare la distribuzione per rispettare la politica.

Il messaggio di errore include i nomi della definizione dei criteri e dell'assegnazione dei criteri che ha causato l'errore. Questi nomi sono necessari per ottenere altre informazioni sui criteri.

az policy definition show --name {policy-name}

az policy assignment show --name {assignment-name} --resource-group {resource-group-name}

$subid = (Get-AzContext).Subscription.Id
$defname = "<policy definition name>"
(Get-AzPolicyDefinition -Id "/subscriptions/$subid/providers/Microsoft.Authorization/policyDefinitions") |
  Where-Object -Property Name -EQ -Value $defname |
    ConvertTo-Json -Depth 10

$rg = Get-AzResourceGroup -Name "<resource group name>"
$assignmentname = "<policy assignment name>"
Get-AzPolicyAssignment -Name $assignmentname -Scope $rg.ResourceId | ConvertTo-Json -Depth 5

All'interno della definizione dei criteri viene visualizzata una descrizione dei criteri e delle regole applicate. Esaminare le regole e aggiornare il modello arm o il file Bicep in modo che siano conformi alle regole. Ad esempio, se la regola indica che l'accesso alla rete pubblica è disabilitato, è necessario aggiornare le proprietà delle risorse corrispondenti.

Per altre informazioni, vedere gli articoli seguenti:

• Che cos'è Criteri di Azure?
• Esercitazione: Creare e gestire criteri per applicare la conformità
• Definizioni di criteri predefiniti di Criteri di Azure