Sdílet prostřednictvím

Azure Policy strukturu úloh nápravy

  • Článek

Funkce úlohy Azure Policy nápravy slouží k zajištění dodržování předpisů s prostředky, které jsou vytvořené z definice a přiřazení. Prostředky, které nedodržují předpisy pro přiřazení definice modify nebo deployIfNotExist , lze zajistit dodržování předpisů pomocí úlohy nápravy. Úloha nápravy nasadí šablonu deployIFNotExist nebo operace úprav do vybraných nedodržovaných prostředků pomocí identity zadané v přiřazení. Viz struktura přiřazení zásad. Abyste pochopili, jak se identita definuje a opravuje prostředky, které nedodržují předpisy, kurz konfigurace identity.

Poznámka

Úlohy nápravy opravují prostředky, které nedodržují předpisy. Prostředky, které jsou nově vytvořeny nebo aktualizovány a které jsou použitelné pro přiřazení definice deployIfNotExist nebo modify jsou automaticky napraveny.

K vytvoření úlohy nápravy zásad použijete JavaScript Object Notation (JSON). Úloha nápravy zásad obsahuje prvky pro:

Následující kód JSON například zobrazuje úlohu nápravy zásad pro definici zásad s názvem requiredTags část přiřazení iniciativy s názvem se resourceShouldBeCompliantInit všemi výchozími nastaveními.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Postup aktivace úlohy nápravy v průvodci nápravou nedodržujícími předpisy

Poznámka

Tato nastavení nelze po spuštění úlohy nápravy změnit.

Zobrazovaný název a popis

Pomocí displayName a description identifikujete úlohu nápravy zásad a poskytnete kontext pro její použití. displayName má maximální délku 128 znaků a popis maximálně 512 znaků.

ID přiřazení zásad

Toto pole musí obsahovat název úplné cesty k přiřazení zásad nebo iniciativy. policyAssignmentId je řetězec, nikoli pole. Tato vlastnost definuje, které přiřazení nadřazené hierarchie prostředků nebo jednotlivých prostředků se má napravit.

ID definice zásad

policyAssignmentId Pokud se jedná o přiřazení iniciativy, musí být vlastnost policyDefinitionReferenceId použita k určení, která definice zásad v iniciativě má být napravena. Vzhledem k tomu, že náprava může napravit pouze v oboru jedné definice, tato vlastnost je řetězec , a ne pole. Hodnota musí odpovídat hodnotě v definici iniciativy v policyDefinitions.policyDefinitionReferenceId poli místo globálního identifikátoru pro definici Idzásady .

Počet prostředků a paralelní nasazení

Pomocí počtu prostředků můžete určit, kolik prostředků, které nedodržují předpisy, které se mají v dané úloze nápravy napravit. Výchozí hodnota je 500 s maximálním počtem 50 000. Paralelní nasazení určuje, kolik z těchto prostředků se má najednou napravit. Povolený rozsah je od 1 do 30 s výchozí hodnotou 10.

Poznámka

Paralelní nasazení jsou počet nasazení v rámci jednotného úkolu nápravy s maximálním počtem 30. Paralelně může běžet maximálně 100 úloh nápravy pro jednu definici zásady nebo odkaz na zásady v rámci iniciativy.

Prahová hodnota selhání

Volitelná vlastnost sloužící k určení, jestli má úloha nápravy selhat, pokud procento selhání překročí danou prahovou hodnotu. Prahová hodnota selhání je vyjádřena jako procentuální číslo od 0 do 100. Ve výchozím nastavení je prahová hodnota selhání 100 %, což znamená, že úloha nápravy bude i nadále opravovat ostatní prostředky, i když se prostředky nepodaří napravit.

Filtry nápravy

Volitelná vlastnost upřesní, jaké prostředky jsou použitelné pro úlohu nápravy. Povolený filtr je umístění prostředku. Pokud není uvedeno, prostředky z libovolné oblasti je možné opravit.

Režim zjišťování prostředků

Tato vlastnost rozhoduje o tom, jak zjistit prostředky, které mají nárok na nápravu. Aby byl prostředek způsobilý, musí být nedodržovaný. Ve výchozím nastavení je tato vlastnost nastavená na ExistingNonComplianthodnotu . Může být také nastavená na ReEvaluateCompliance, což aktivuje novou kontrolu dodržování předpisů pro dané přiřazení a opraví všechny prostředky, u kterých se zjistí, že nedodržují předpisy.

Souhrn stavu a nasazení zřizování

Po vytvoření úlohy nápravy se vyplní souhrnné vlastnosti stavu zřizování a nasazení . Stav zřizování označuje stav úlohy nápravy. Povolené hodnoty jsou Running, Canceled, Cancelling, Failed, Completenebo Succeeded. Souhrn nasazení je maticová vlastnost označující počet nasazení spolu s počtem úspěšných a neúspěšných nasazení.

Ukázka úspěšně dokončené úlohy nápravy:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Další kroky