【Azure Policy】借助 Azure Resource Graph 查询策略分配、符合性状态以及策略定义

问题描述

在 Azure 平台中,当使用Azure Policy配置了非常多的策略定义时,想快速了解这些策略对资源创建的影响和限制,并批量导出策略的方法。Azure Policy 门户确没有直接的导出功能,所以只好借助 Azure Resource Graph 查询策略分配、符合性状态以及策略定义的详细信息,实现导出的目的。

image

 

问题解答

Azure Policy 本身不提供批量导出按钮,但可以通过 Azure Resource Graph Explorer 编写 KQL 查询,获取策略相关数据并导出为 CSV 文件。

本文中提供了三类核心查询语句,分别用于 策略分配信息、不合规资源统计 和 策略定义详情。这些查询不仅能帮助快速定位策略影响,还能支持后续合规性分析和治理优化。

 

查询语句一:获取所有已分配策略(Policy Assignments)

KQL 语句

policyresources
| where type == "microsoft.authorization/policyassignments"
| project 
    assignmentName = name, 
    scope = tostring(properties.scope),  // 分配范围(订阅/资源组)
    policyDefinitionId = tostring(properties.policyDefinitionId), // 关联的策略定义ID
    displayName = tostring(properties.displayName),
    enforcementMode = tostring(properties.enforcementMode),// 执行模式(Enabled/Disabled)
    assignedBy = tostring(properties.metadata.assignedBy),  // 分配操作人
    createdBy = tostring(properties.metadata.createdBy)     // 创建者(服务主体/用户ID)
| order by scope asc

image

介绍

该查询用于列出当前 Azure 环境中所有已分配的策略,包括策略名称、分配范围(订阅或资源组)、关联的策略定义 ID、显示名称、执行模式(Enabled/Disabled)、分配人和创建者信息。

通过这些字段,管理员可以快速了解策略的应用范围和责任人,便于后续治理和审计。

查询结果可导出为 CSV 文件,支持进一步分析或归档。

 

查询语句二:统计不合规资源数量

KQL 语句

policyresources
| where type == "microsoft.policyinsights/policystates"
| where properties.complianceState == "NonCompliant"  
| summarize blockedCount=count() by 
    policyDefinitionName = tostring(properties.policyDefinitionName), 
    resourceType = tostring(properties.resourceType)
| order by blockedCount desc

 

介绍

该查询用于统计所有处于“不合规”状态的资源数量,并按策略名称和资源类型分组排序。

管理员可以快速识别哪些策略导致最多的合规性问题,帮助优先处理高影响策略。通过 blockedCount 字段,可以量化策略的影响范围,结合资源类型信息,制定针对性的整改计划。

此查询非常适合用于合规性报告和治理优化。

 

查询语句三:获取策略定义详情

KQL 语句

policyresources
| where type == "microsoft.authorization/policydefinitions"  // 筛选策略定义资源类型
| extend 
    policyDefinitionId = id, 
    displayName = tostring(properties.displayName),  // 策略显示名称
    description = tostring(properties.description),  // 策略描述
    effectType = tostring(properties.policyRule.then.effect)  // 策略效果(deny/audit)
| project 
    properties,
    name,  
    policyDefinitionId,
    displayName,
    description,
    effectType,  
    category = tostring(properties.metadata.category)  
| order by category asc

 

介绍

该查询用于获取策略定义的详细信息,包括策略 ID、显示名称、描述、策略效果(如 deny、audit)以及分类。

通过这些信息,管理员可以全面了解策略的功能和用途,便于策略优化和分类管理。结合 category 字段,可以按策略类别进行排序,快速定位特定类型的策略(如安全、网络、合规)。

此查询适用于策略库维护和治理策略审查场景

 

参考资料

使用 Azure 门户运行 Resource Graph 查询 : https://learn.microsoft.com/azure/governance/resource-graph/first-query-portal

Azure Resource Graph sample queries for Azure Policy : https://learn.microsoft.com/azure/governance/policy/samples/resource-graph-samples

Azure Policy 文档 : https://learn.microsoft.com/azure/governance/policy/

 

posted @ 2025-12-01 21:18  路边两盏灯  阅读(1)  评论(0)    收藏  举报