Impact of Azure Policy Deny Effect on Existing Resources

안녕하세요 SujiKim-3286, Azure Policy 거부(Deny) 효과 동작에 대한 귀하의 요약이 정확하고 공식 Microsoft 지침과 일치하는지 확인하고자 하며, 특히 기존 리소스, 생성/업데이트 강제 적용 또는 실행/서비스 영향에 대해 확인하고자 합니다.

1. 기존 리소스는 삭제되거나 비활성화되지 않으며, Microsoft는 평가 동안 기존 리소스가 단지 준수하지 않는 것으로 표시된다고 확인합니다.
2. 거부 효과는 요청이 리소스 제공자에 도달하기 전에 차단합니다 (403 금지됨).
   • 새로운 리소스 생성이 차단됩니다
   • 비준수인 경우 모든 업데이트(태그, 속성, 재배포)가 차단됩니다
3. deny/append/deployIfNotExists가 적용된 기존 리소스는 비준수로 간주됩니다. 그러나 이들은 계속 정상적으로 작동하며 즉각적인 강제 적용은 이루어지지 않습니다.
4. 리소스가 변경되지 않으면 영향 없음. 집행은 새로운 요청이나 업데이트된 요청에만 적용됩니다. 따라서 아무 작업도 수행되지 않으면 차단이나 다운타임이 없습니다.

예시: 소유자 태그를 요구하는 거부 정책

• 정책 이전에 태그가 없는 기존 리소스가 있으면 허용됨
• 정책이 할당되면(거부) 리소스는 비준수 상태가 됨
• 변경이 없으면 리소스는 계속 정상적으로 실행됨
• 사용자가 리소스를 업데이트하려고 하면 차단됨(403 – 거부 정책)
• 사용자가 태그를 수정하면 업데이트가 성공함

귀하의 진술은 완전히 정확합니다:

거부 정책(Deny policies)은 기존의 비준수 리소스를 삭제하거나 비활성화하지 않습니다; 해당 리소스는 남아 있지만 비준수로 표시됩니다.

정책이 할당된 후 생성 또는 업데이트 작업은 리소스가 요구 사항을 충족하지 않으면 차단됩니다.

변경되지 않은 기존 리소스는 즉각적인 서비스 영향 없이 계속 정상적으로 운영됩니다.

참고 문헌:

• 정책에 의해 작업이 차단됨(거부 효과가 생성/업데이트를 차단함)
• Azure 정책 정의 거부 효과(기존 리소스에 대한 비준수 표시)
• 기존 리소스에 대한 규정 준수 데이터를 가져옵니다
• 새 Azure 정책 정의를 할당하기 전에 영향을 평가하세요

도움이 되길 바랍니다. 추가 질문이 있으면 언제든지 문의해 주세요. 감사합니다.