遍历 ARM 模板中的值

Looping through values in ARM templates

一天多来我一直在处理一个我在使用 ARM 模板时遇到的问题,但似乎卡住了,所以在 SO 上询问以防万一有人可以提供帮助。

为了描述这个问题,我有一个现有的 Azure Key Vault 设置,并希望向该资源组添加一些访问策略。出于参考目的,以下是用于添加 Key Vault 访问策略的 ARM 模板参考:

https://docs.microsoft.com/en-gb/azure/templates/Microsoft.KeyVault/2018-02-14/vaults/accessPolicies

我有许多用户希望为其分配相同的权限,并且此用户列表不太可能经常更改,因此我希望在模板本身中对引用这些用户的 objectId 数组进行硬编码,并且然后使用 "copy" 功能创建多路访问策略。本质上我希望最终结果接近于此,其中访问策略之间唯一变化的值是标识用户的 objectID:

{
    "name": "TestKeyVault/add",
    "type": "Microsoft.KeyVault/vaults/accessPolicies",
    "apiVersion": "2018-02-14",
    "properties": {
        "accessPolicies": [

            {
                "tenantId": "tenantIDStringGoesHere",
                "objectId": "guidForUser1GoesHere",
                "permissions": {
                    "keys": ["List"],
                    "secrets": ["List"],
                    "certificates": ["List"]
                }
            },

            {
                "tenantId": "tenantIDStringGoesHere",
                "objectId": "guidForUser2GoesHere",
                "permissions": {
                    "keys": ["List"],
                    "secrets": ["List"],
                    "certificates": ["List"]
                }
            }

        ]   
    }
}

我想用循环来解决这个问题而不是手动复制访问策略的原因是我相信这会使维护更容易,因为可以通过在数组中添加或删除值来处理人事变动,而不是不必复制或删除大部分文本。

我试图理解此处概述的 "copy" 语法,但我还没有找到适合我的用例的正确组合:

https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-create-multiple

我得到的最接近的是:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {

    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Name of the Vault"
      }
    },

    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "Tenant Id of the subscription. Get using Get-AzureRmSubscription cmdlet or Get Subscription API"
      }
    },

    "objectId": {
      "type": "array",
      "defaultValue": [
        "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
      ],
      "metadata": {
        "description": "Object Id of the AD user. Get using Get-AzureRmADUser or Get-AzureRmADServicePrincipal cmdlets"
      }
    },

    "secretsPermissions": {
      "type": "array",
      "defaultValue": [
        "list"
      ],
      "metadata": {
        "description": "Permissions to secrets in the vault. Valid values are: all, get, set, list, and delete."
      }
    }

  },

  "variables": {
    "objectIdCount": "[length(parameters('objectId'))]"
  },

  "resources": [
    {

      "type": "Microsoft.KeyVault/vaults/accessPolicies",
      "name": "TestKeyVault/add",
      "apiVersion": "2018-02-14",
      "properties": {
        "accessPolicies": [{
          "tenantId": "[parameters('tenantId')]",
          "objectId": "[parameters('objectId')[copyIndex('objectIdCopy')]]",
          "permissions": {
            "secrets": "[parameters('secretsPermissions')]"
          },
          "copy": {
            "name": "objectIdCopy",
            "count": 2
          }


        }]
      }

    }
  ]

}

值得注意的是,虽然我已将此 SO 版本中的 objectId 替换为 X 和 Y,但如果我替换 "objectId" 代码在真实版本中有效:“[parameters('objectId') [copyIndex('objectIdCopy')]]" with "objectId": "[parameters('objectId')[0]]" (换句话说,如果我只是对数组索引进行硬编码,它就可以工作,但是如果我尝试使用 copyIndex 它不会)。

我曾尝试使用此模板的不同变体收到各种错误消息,但在最近一次迭代中,我在尝试通过 PowerShell 部署模板时收到的错误消息基本上可以概括为 "The template function 'copyIndex' is not expected at this location".

说到我一直用来测试的PowerShell,下面是简化版:

Clear-Host

$deploymentResourceGroupName = 'TestRG'

$templatePath = 'test_template.json'

$templateParameterObject = @{}
$templateParameterObject += @{'keyVaultName' = 'TestKeyVault'}

New-AzureRmResourceGroupDeployment -ResourceGroupName $deploymentResourceGroupName -TemplateFile $templatePath -TemplateParameterObject $templateParameterObject

我知道这是一个很长的问题,但我希望我已经提供了足够的信息来帮助调试这个问题。

有什么建议可以让复制功能正常工作吗?

这或多或少是你想要的(如果我理解正确的话):

{
    "type": "Microsoft.KeyVault/vaults/accessPolicies",
    "name": "TestKeyVault/add",
    "apiVersion": "2018-02-14",
    "properties": {
        "copy": [
            {
                "name": "accessPolicies",
                "count": "[length(parameters('objectId'))]",
                "input": {
                    "tenantId": "[parameters('tenantId')]",
                    "objectId": "[parameters('objectId')[copyIndex('accessPolicies')]]",
                    "permissions": {
                        "secrets": "[parameters('secretsPermissions')]"
                    }
                }
            }
        ]
    }
}

阅读:https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-create-multiple#property-iteration