Structure de la tâche de correction Azure Policy
La fonctionnalité de tâche de correction Azure Policy est utilisée pour mettre les ressources en conformité, à partir d’une définition et d’une affectation. Les ressources non conformes à une attribution de définition modify ou deployIfNotExist peuvent être mises en conformité à l’aide d’une tâche de correction. La tâche de correction déploie le modèle deployIfNotExist ou les opérations de modification sur les ressources non conformes sélectionnées à l’aide de l’identité spécifiée dans l’affectation. Consultez Structure d’attribution de stratégie pour comprendre comment l’identité est définie, et le tutoriel Remédier aux ressources non conformes pour configurer l’identité.
Notes
Les tâches de correction corrigent les ressources qui ne sont pas conformes. Les ressources nouvellement créées ou mises à jour qui s’appliquent à une attribution de définition deployIfNotExist ou modify sont automatiquement corrigées.
Vous utilisez JavaScript Object Notation (JSON) pour créer une tâche de correction de stratégie. La tâche de correction de stratégie contient les éléments suivants :
- le nom d’affichage
- description
- attribution de stratégie
- définitions de stratégie dans une initiative
- nombre de ressources et déploiements parallèles
- seuil d’échec
- filtres de correction
- mode de découverte de ressources
- état d’approvisionnement et résumé du déploiement
Par exemple, le code JSON suivant montre une tâche de correction de stratégie pour la définition de stratégie nommée requiredTags, qui fait partie d’une attribution d’initiative nommée resourceShouldBeCompliantInit, avec tous les paramètres par défaut.
{
"id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
"apiVersion": "2021-10-01",
"name": "remediateNotCompliant",
"type": "Microsoft.PolicyInsights/remediations",
"properties": {
"policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
"policyDefinitionReferenceIds": "requiredTags",
"resourceCount": 42,
"parallelDeployments": 6,
"failureThreshold": {
"percentage": 0.1
}
}
}
Étapes pour déclencher une tâche de correction dans le guide de correction des ressources non conformes
Notes
Ces paramètres ne peuvent pas être modifiés une fois que la tâche de correction a démarré.
Nom d’affichage et description
displayName et description permettent de distinguer la définition de stratégie et de préciser son contexte d’utilisation. displayName a une longueur maximale de 128 caractères et description a une longueur maximale de 512 caractères.
ID d'attribution de stratégie
Ce champ correspond au nom du chemin complet d’une attribution de stratégie ou d’une attribution d’initiative.
policyAssignmentId est une chaîne et non un tableau. Cette propriété définit l’affectation à partir de laquelle la hiérarchie de ressources parente ou la ressource individuelle est corrigée.
ID de définition de stratégie
Si policyAssignmentId concerne une attribution d’initiative, il est nécessaire de spécifier quelle définition de stratégie de l’initiative doit être utilisée pour remédier aux ressources de l’objet. Pour ce faire, il est possible d’utiliser la propriété nommée policyDefinitionReferenceId. Comme une correction ne peut corriger que dans l’étendue d’une définition, cette propriété est une chaîne et non un tableau. La valeur doit correspondre à la valeur de la définition d’initiative dans le champ policyDefinitions.policyDefinitionReferenceId au lieu de l’identificateur global pour la définition de stratégie Id.
Nombre de ressources et déploiements parallèles
Utilisez le nombre de ressources pour déterminer le nombre de ressources non conformes à corriger dans une tâche de correction donnée. La valeur par défaut est 500, le nombre maximal étant 50 000. Les déploiements parallèles déterminent le nombre de ressources à corriger simultanément. La plage autorisée est comprise entre 1 et 30, la valeur par défaut étant 10.
Notes
Les déploiements parallèles désignent le nombre de déploiements au sein d’une unique tâche de correction avec 30 au maximum. Un maximum de 100 tâches de correction peut être exécuté en parallèle pour une unique définition ou référence de stratégie au sein d’une initiative.
Seuil d’échec
Une propriété facultative qui permet de spécifier si la tâche de correction doit échouer si le pourcentage d’échecs dépasse le seuil donné. Le seuil d’échec est représenté sous la forme d’un pourcentage compris entre 0 et 100. Par défaut, le seuil d’échec est de 100 %, ce qui signifie que la tâche de correction continue à corriger d’autres ressources même si les ressources ne parviennent pas à se corriger.
Filtres de correction
Une propriété facultative qui permet d’affiner les ressources applicables à la tâche de correction. Le filtre autorisé est l’emplacement des ressources. Sauf indication contraire, les ressources de n’importe quelle région peuvent être corrigées.
Mode de découverte des ressources
Cette propriété détermine comment découvrir les ressources éligibles à la correction. Pour être éligible, une ressource doit être non conforme. Par défaut, cette propriété est définie sur ExistingNonCompliant. Elle peut également être définie sur ReEvaluateCompliance, ce qui déclenchera une nouvelle analyse de conformité pour cette affectation et corrigera toutes les ressources qui sont jugées non conformes.
État d’approvisionnement et résumé du déploiement
Une fois qu’une tâche de correction est créée, les propriétés d’état d’approvisionnement et de résumé du déploiement sont renseignées. L’état d’approvisionnement indique l’état de la tâche de correction. Les valeurs autorisées sont : Running, Canceled, Cancelling, Failed, Complete ou Succeeded. Le résumé du déploiement est une propriété de tableau indiquant le nombre de déploiements ainsi que le nombre de déploiements réussis et ayant échoué.
Exemple de tâche de correction qui s’est terminée avec succès :
{
"id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
"Type": "Microsoft.PolicyInsights/remediations",
"Name": "remediateNotCompliant",
"PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
"policyDefinitionReferenceIds": "requiredTags",
"resourceCount": 42,
"parallelDeployments": 6,
"failureThreshold": {
"percentage": 0.1
},
"ProvisioningState": "Succeeded",
"DeploymentSummary": {
"TotalDeployments": 42,
"SuccessfulDeployments": 42,
"FailedDeployments": 0
},
}
Étapes suivantes
- Comprendre comment déterminer les causes de la non-conformité.
- Découvrez comment obtenir des données de conformité.
- Découvrez comment corriger des ressources non conformes.
- Découvrez comment réagir aux événements de changement d’état Azure Policy.
- En savoir plus sur la structure des définitions de stratégies
- En savoir plus sur la structure des attributions de stratégies
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour