Azure Policy strukturu úloh nápravy
Funkce úlohy Azure Policy nápravy slouží k zajištění dodržování předpisů s prostředky, které jsou vytvořené z definice a přiřazení. Prostředky, které nedodržují předpisy pro přiřazení definice modify nebo deployIfNotExist , lze zajistit dodržování předpisů pomocí úlohy nápravy. Úloha nápravy nasadí šablonu deployIFNotExist nebo operace úprav do vybraných nedodržovaných prostředků pomocí identity zadané v přiřazení. Viz struktura přiřazení zásad. Abyste pochopili, jak se identita definuje a opravuje prostředky, které nedodržují předpisy, kurz konfigurace identity.
Poznámka
Úlohy nápravy opravují prostředky, které nedodržují předpisy. Prostředky, které jsou nově vytvořeny nebo aktualizovány a které jsou použitelné pro přiřazení definice deployIfNotExist nebo modify jsou automaticky napraveny.
K vytvoření úlohy nápravy zásad použijete JavaScript Object Notation (JSON). Úloha nápravy zásad obsahuje prvky pro:
- zobrazovaný název
- description
- přiřazení zásad
- definice zásad v rámci iniciativy
- počet prostředků a paralelní nasazení
- prahová hodnota selhání
- filtry nápravy
- režim zjišťování prostředků
- Souhrn stavu zřizování a nasazení
Následující kód JSON například zobrazuje úlohu nápravy zásad pro definici zásad s názvem requiredTags
část přiřazení iniciativy s názvem se resourceShouldBeCompliantInit
všemi výchozími nastaveními.
{
"id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
"apiVersion": "2021-10-01",
"name": "remediateNotCompliant",
"type": "Microsoft.PolicyInsights/remediations",
"properties": {
"policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
"policyDefinitionReferenceIds": "requiredTags",
"resourceCount": 42,
"parallelDeployments": 6,
"failureThreshold": {
"percentage": 0.1
}
}
}
Postup aktivace úlohy nápravy v průvodci nápravou nedodržujícími předpisy
Poznámka
Tato nastavení nelze po spuštění úlohy nápravy změnit.
Zobrazovaný název a popis
Pomocí displayName a description identifikujete úlohu nápravy zásad a poskytnete kontext pro její použití. displayName má maximální délku 128 znaků a popis maximálně 512 znaků.
ID přiřazení zásad
Toto pole musí obsahovat název úplné cesty k přiřazení zásad nebo iniciativy.
policyAssignmentId
je řetězec, nikoli pole. Tato vlastnost definuje, které přiřazení nadřazené hierarchie prostředků nebo jednotlivých prostředků se má napravit.
ID definice zásad
policyAssignmentId
Pokud se jedná o přiřazení iniciativy, musí být vlastnost policyDefinitionReferenceId použita k určení, která definice zásad v iniciativě má být napravena. Vzhledem k tomu, že náprava může napravit pouze v oboru jedné definice, tato vlastnost je řetězec , a ne pole. Hodnota musí odpovídat hodnotě v definici iniciativy v policyDefinitions.policyDefinitionReferenceId
poli místo globálního identifikátoru pro definici Id
zásady .
Počet prostředků a paralelní nasazení
Pomocí počtu prostředků můžete určit, kolik prostředků, které nedodržují předpisy, které se mají v dané úloze nápravy napravit. Výchozí hodnota je 500 s maximálním počtem 50 000. Paralelní nasazení určuje, kolik z těchto prostředků se má najednou napravit. Povolený rozsah je od 1 do 30 s výchozí hodnotou 10.
Poznámka
Paralelní nasazení jsou počet nasazení v rámci jednotného úkolu nápravy s maximálním počtem 30. Paralelně může běžet maximálně 100 úloh nápravy pro jednu definici zásady nebo odkaz na zásady v rámci iniciativy.
Prahová hodnota selhání
Volitelná vlastnost sloužící k určení, jestli má úloha nápravy selhat, pokud procento selhání překročí danou prahovou hodnotu. Prahová hodnota selhání je vyjádřena jako procentuální číslo od 0 do 100. Ve výchozím nastavení je prahová hodnota selhání 100 %, což znamená, že úloha nápravy bude i nadále opravovat ostatní prostředky, i když se prostředky nepodaří napravit.
Filtry nápravy
Volitelná vlastnost upřesní, jaké prostředky jsou použitelné pro úlohu nápravy. Povolený filtr je umístění prostředku. Pokud není uvedeno, prostředky z libovolné oblasti je možné opravit.
Režim zjišťování prostředků
Tato vlastnost rozhoduje o tom, jak zjistit prostředky, které mají nárok na nápravu. Aby byl prostředek způsobilý, musí být nedodržovaný. Ve výchozím nastavení je tato vlastnost nastavená na ExistingNonCompliant
hodnotu . Může být také nastavená na ReEvaluateCompliance
, což aktivuje novou kontrolu dodržování předpisů pro dané přiřazení a opraví všechny prostředky, u kterých se zjistí, že nedodržují předpisy.
Souhrn stavu a nasazení zřizování
Po vytvoření úlohy nápravy se vyplní souhrnné vlastnosti stavu zřizování a nasazení . Stav zřizování označuje stav úlohy nápravy. Povolené hodnoty jsou Running
, Canceled
, Cancelling
, Failed
, Complete
nebo Succeeded
. Souhrn nasazení je maticová vlastnost označující počet nasazení spolu s počtem úspěšných a neúspěšných nasazení.
Ukázka úspěšně dokončené úlohy nápravy:
{
"id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
"Type": "Microsoft.PolicyInsights/remediations",
"Name": "remediateNotCompliant",
"PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
"policyDefinitionReferenceIds": "requiredTags",
"resourceCount": 42,
"parallelDeployments": 6,
"failureThreshold": {
"percentage": 0.1
},
"ProvisioningState": "Succeeded",
"DeploymentSummary": {
"TotalDeployments": 42,
"SuccessfulDeployments": 42,
"FailedDeployments": 0
},
}
Další kroky
- Seznamte se s určením příčin nedodržování předpisů.
- Zjistěte, jak získat data o dodržování předpisů.
- Zjistěte, jak napravit prostředky, které nedodržují předpisy.
- Přečtěte si, jak reagovat na Azure Policy události změny stavu.
- Přečtěte si o struktuře definic zásad.
- Přečtěte si o struktuře přiřazení zásad.