Megosztás a következőn keresztül:


A nemmegfelelőség okainak meghatározása

Ha egy Azure-erőforrást úgy határoznak meg, hogy nem felel meg egy szabályzatszabálynak, hasznos tisztában lenni azzal, hogy az erőforrás melyik része nem felel meg a szabálynak. Azt is érdemes tudni, hogy melyik módosítás módosította a korábban megfelelő erőforrást, hogy az ne legyen megfelelő. Kétféleképpen keresheti meg ezeket az információkat:

Megfelelőségi adatok

Ha egy erőforrás nem megfelelő, az erőforrás megfelelőségi adatai a Szabályzatmegfelelőségi oldalon érhetők el. A megfelelőségi részletek panel a következő információkat tartalmazza:

  • Az erőforrás részletei, például a név, a típus, a hely és az erőforrás-azonosító.
  • Az aktuális szabályzat-hozzárendelés legutóbbi kiértékelésének megfelelőségi állapota és időbélyege.
  • Az erőforrás meg nem felelésének okainak listája.

Fontos

Mivel egy nem megfelelő erőforrás megfelelőségi adatai az adott erőforrás tulajdonságainak aktuális értékét mutatják, a felhasználónak olvasási művelettel kell rendelkeznie az erőforrás típusához. Ha például a nem megfelelő erőforrás, Microsoft.Compute/virtualMachines akkor a felhasználónak rendelkeznie kell a Microsoft.Compute/virtualMachines/read művelettel. Ha a felhasználó nem rendelkezik a szükséges művelettel, megjelenik egy hozzáférési hiba.

A megfelelőségi adatok megtekintéséhez kövesse az alábbi lépéseket:

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

  2. Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy nem megfelelő megfelelőségi állapotú szabályzatot.

  3. A Szabályzatmegfelelőség lap Erőforrásmegfelelőség lapján jelölje ki és tartsa lenyomva (vagy kattintson rá a jobb gombbal), vagy jelölje ki egy nem megfelelő megfelelőségi állapotú erőforrás három pontját. Ezután válassza a Megfelelőségi adatok megtekintése lehetőséget.

    Képernyőkép a Megfelelőségi adatok megtekintése hivatkozásról az Erőforrás-megfelelőség lapon.

  4. A Megfelelőség részletei panel az erőforrás legújabb kiértékelésétől az aktuális szabályzat-hozzárendelésig jeleníti meg az információkat. Ebben a példában a mező Microsoft.Sql/servers/version 12.0, míg a szabályzatdefiníció 14,0-s értékre számított. Ha az erőforrás több okból sem felel meg a követelményeknek, mindegyik megjelenik ezen a panelen.

    Képernyőkép a Megfelelőség részletei panelről, valamint annak okairól, hogy az aktuális érték 12, a célérték pedig 14.

    Egy auditIfNotExists vagy deployIfNotExists szabályzatdefiníció esetében a részletek tartalmazzák a details.type tulajdonságot és az opcionális tulajdonságokat. A lista megtekintéséhez tekintse meg az auditIfNotExists tulajdonságait és a DeployIfNotExists tulajdonságokat. Az utolsó kiértékelt erőforrás a definíció részletes szakaszából származó kapcsolódó erőforrás.

    Példa részleges deployIfNotExists definícióra:

    {
      "if": {
        "field": "type",
        "equals": "[parameters('resourceType')]"
      },
      "then": {
        "effect": "deployIfNotExists",
        "details": {
          "type": "Microsoft.Insights/metricAlerts",
          "existenceCondition": {
            "field": "name",
            "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
          },
          "existenceScope": "subscription",
          "deployment": {
            ...
          }
        }
      }
    }
    

    Képernyőkép az ifNotExists megfelelőségi részleteinek paneljéről, beleértve a kiértékelt erőforrások számát.

Feljegyzés

Az adatok védelme érdekében, ha egy tulajdonság értéke titkos , az aktuális érték csillagokat jelenít meg.

Ezek a részletek azt mutatják be, hogy egy erőforrás miért nem megfelelő, de nem jeleníti meg, hogy mikor történt a módosítás az erőforráson, amely miatt nem megfelelővé vált. További információ: Változáselőzmények (előzetes verzió).

Megfelelőségi okok

A Resource Manager és az Erőforrás-szolgáltató módnak különböző okai vannak a meg nem felelés miatt.

Általános Resource Manager mód megfelelőségi okai

Az alábbi táblázat az egyes Resource Manager-mód okokat a szabályzatdefiníció felelős feltételéhez képezi le:

Ok Feltétel
Az aktuális értéknek kulcsként kell tartalmaznia a célértéket. containsKey vagy notContainsKey
Az aktuális értéknek tartalmaznia kell a célértéket. A nem tartalmazza aContainst
Az aktuális értéknek meg kell egyenlõnek lennie a célértékel. egyenlő vagy nem egyenlő
Az aktuális értéknek kisebbnek kell lennie a célértéknél. kisebb vagy nem nagyobbOrEquals
Az aktuális értéknek nagyobbnak vagy egyenlőnek kell lennie a célértéknél. greaterOrEquals vagy nem kisebb
Az aktuális értéknek nagyobbnak kell lennie, mint a célérték. nagyobb vagy nem lízingeltOrEquals
Az aktuális értéknek kisebbnek vagy egyenlőnek kell lennie a célértéknél. lessOrEquals vagy nem nagyobb
Az aktuális értéknek léteznie kell. Létezik
Az aktuális értéknek a célértékben kell lennie. in vagy notIn
Az aktuális értéknek a célértékhez hasonlónak kell lennie. like vagy notLike
Az aktuális értéknek a célértéknek megfelelő kis- és nagybetűknek kell lennie. egyezés vagy nem egyezés
Az aktuális értéknek a célértéknek nem megfelelő kis- és nagybetűknek kell lennie. matchInsensitively vagy notMatchInsensitively
Az aktuális érték nem tartalmazhat kulcsként a célértéket. notContainsKey vagy not containsKey
Az aktuális érték nem tartalmazhat célértéket. notContains vagy not contains
Az aktuális érték nem lehet egyenlő a célértékel. notEquals vagy notEquals
Az aktuális érték nem létezhet. nem létezik
Az aktuális érték nem lehet a célértékben. notIn vagy not in
Az aktuális érték nem lehet olyan, mint a célérték. notLike vagy nem tetszik
Az aktuális érték nem lehet a célértéknek megfelelő kis- és nagybetűk megkülönböztetése. notMatch vagy not match
Az aktuális érték nem lehet érzéketlen a célértékhez. notMatchInsensitively vagy not matchInsensitively
Egyetlen kapcsolódó erőforrás sem egyezik a szabályzatdefinícióban szereplő effektus részleteivel. A szabályzatszabály ha részének definiált és ahhoz kapcsolódó típusú erőforrás then.details.type nem létezik.

Az Azure Policy erőforrás-szolgáltatói módjának megfelelőségi okai

Az alábbi táblázat az egyes Microsoft.PolicyInsightserőforrás-szolgáltatói mód okkódjait a megfelelő magyarázatnak megfelelően képezi le:

Megfelelőségi ok kódja Hibaüzenet és magyarázat
NonModifiablePolicyAlias NonModifiableAliasConflict: A(z) "{alias}" alias nem módosítható a(z) "{apiVersion}" API-verziót használó kérelmekben. Ez a hiba akkor fordul elő, ha egy OLYAN API-verziót használó kérés, amelyben az alias nem támogatja a módosítási effektust, vagy csak a "módosítás" effektust támogatja egy másik jogkivonattípussal.
AppendPoliciesNotApplicable AppendPoliciesUnableToAppend: A(z) {aliases }" aliasok nem módosíthatók az API-verziót használó kérelmekben: "{ apiVersion }". Ez olyan API-verziókat használó kérésekben fordulhat elő, amelyeknél az aliasok nem támogatják a módosítási effektust, vagy más jogkivonattípussal támogatják a módosítási effektust.
ÜtközőAppendPolicies ÜtközőAppendPolicies: Ütköző szabályzat-hozzárendeléseket talált, amelyek módosítják a(z) {notApplicableFields} mezőt. Szabályzatazonosítók: "{policy}". A szabályzat-hozzárendelések frissítéséhez forduljon az előfizetés rendszergazdájához.
AppendPoliciesFieldsExist AppendPoliciesFieldsExistWithDifferentValues: A szabályzat-hozzárendelések olyan mezőket próbáltak hozzáfűzni, amelyek már léteznek a kérelemben különböző értékekkel. Mezők: "{existingFields}". Szabályzatazonosítók: "{policy}". A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához.
AppendPoliciesUndefinedFields AppendPoliciesUndefinedFields: Olyan szabályzatdefiníciót talált, amely a(z) {apiVersion} API-verzió nem definiált mezőtulajdonságára hivatkozik. Mezők: {nonExistingFields}. Szabályzatazonosítók: "{policy}". A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához.
MissingRegistrationForType MissingRegistrationForResourceType: Az előfizetés nincs regisztrálva a(z) {ResourceType} erőforrástípushoz. Ellenőrizze, hogy az erőforrástípus létezik-e, és hogy az erőforrástípus regisztrálva van-e.
AmbiguousPolicyEvaluationPaths A kérelem tartalma egy vagy több félreérthető elérési úttal rendelkezik: a szabályzatok által megkövetelt "{0}" elérési utak: ""{1}.
InvalidResourceNameWildcardPosition A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli "{2}" erőforrásnév érvénytelen pozícióban tartalmazza a "?" helyettesítő karaktert. A helyettesítő karakterek csak önmagukban (például TopLevelResourceName/?) találhatóak a szegmensek nevének végén. Javítsa ki a szabályzatot, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához.
TooManyResourceNameSegments A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli "{2}" erőforrásnév túl sok névszegmenst tartalmaz. A névszegmensek számának egyenlőnek vagy kisebbnek kell lennie, mint a típusszegmensek száma (az erőforrás-szolgáltató névterének kivételével). Javítsa ki a szabályzatdefiníciót, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához.
InvalidPolicyFieldPath A szabályzatdefinícióban lévő "{0}" mező elérési útja érvénytelen. A mezőútvonalak nem tartalmazhatnak üres szegmenseket. Ezek csak alfanumerikus karaktereket tartalmazhatnak, kivéve a szegmensek felosztásához használt "." karaktert és a [*]" karaktersorozatot a tömbtulajdonságok eléréséhez.

Az AKS-erőforrás-szolgáltató mód megfelelőségi okai

Az alábbi táblázat az egyes Microsoft.Kubernetes.Dataerőforrás-szolgáltatói mód okait a szabályzatdefiníció kényszersablonjának felelős állapotára képezi le:

Ok Kényszersablon okának leírása
Korlátozás/TemplateCreateFailed Az erőforrás nem tudott olyan korlátozással/sablonnal rendelkező szabályzatdefinícióhoz létrehozni, amely nem felel meg egy meglévő korlátozásnak/sablonnak a fürtben erőforrás metaadat-neve alapján.
Korlátozás/TemplateUpdateFailed A korlátozás/sablon nem tudott frissíteni egy szabályzatdefinícióhoz egy olyan korlátozással/sablonnal, amely megfelel egy meglévő korlátozásnak/sablonnak a fürtön erőforrás-metaadatok neve alapján.
Korlátozás/TemplateInstallFailed A kényszer/sablon létrehozása nem sikerült, és nem sikerült a fürtre telepíteni a létrehozási vagy frissítési művelethez.
ConstraintTemplateConflicts A sablon ütközik egy vagy több olyan szabályzatdefinícióval, amely ugyanazt a sablonnevet használja különböző forrással.
ConstraintStatusStale Van egy meglévő "Audit" állapot, de a Gatekeeper nem végzett ellenőrzést az elmúlt egy órában.
ConstraintNotProcessed Nincs állapot, és a Gatekeeper nem végzett ellenőrzést az elmúlt egy órában.
InvalidConstraint/Template Az erőforrást az alábbi okok egyike miatt utasították el: érvénytelen kényszersablon – Rego-tartalom, érvénytelen YAML vagy paramétertípus-eltérés a kényszer és a kényszersablon között (sztringértéket ad meg, ha egész szám várható).

Feljegyzés

A fürtön már meglévő szabályzat-hozzárendelések és kényszersablonok esetén, ha a korlátozás/sablon meghiúsul, a fürt a meglévő korlátozás/sablon fenntartásával lesz védve. A fürt nem megfelelőként jelent, amíg meg nem oldja a hibát a szabályzat-hozzárendelésen vagy a bővítmény öngyógyításán. Az ütközések kezeléséről további információt a Kényszersablon ütközései című témakörben talál.

Erőforrás-szolgáltatói módok összetevőinek részletei

Erőforrás-szolgáltatói módú hozzárendelések esetén válassza ki a nem megfelelő erőforrást az összetevő megfelelőségi rekordjainak megtekintéséhez. Az Összetevő-megfelelőség lap az erőforrás-szolgáltató módra vonatkozó további információkat jelenít meg, például az összetevő nevét, az összetevő azonosítóját és a típust.

Képernyőkép az összetevő-megfelelőség irányítópultjáról és az erőforrás-szolgáltatói módú hozzárendelések megfelelőségi részleteiről.

A vendégkonfiguráció megfelelőségi adatai

A Vendégkonfiguráció kategóriában lévő szabályzatdefiníciók esetében több beállítás is kiértékelhető a virtuális gépen belül, és meg kell tekintenie a beállításonkénti részleteket. Ha például a biztonsági beállítások listáját naplózzák, és csak az egyik állapota nem megfelelő, tudnia kell, hogy mely beállítások nem megfelelőek, és miért.

Előfordulhat, hogy nem tud közvetlenül bejelentkezni a virtuális gépre, de jelentenie kell, hogy miért nem megfelelő a virtuális gép.

Azure Portal

Először is kövesse ugyanazokat a lépéseket a Megfelelőségi részletek szakaszban a szabályzatmegfelelés részleteinek megtekintéséhez.

A Megfelelőség részletei panel nézetben válassza az Utolsó kiértékelt erőforrás hivatkozását.

Képernyőkép az auditIfNotExists definíciómegfelelési részleteinek megtekintéséről.

A Vendég-hozzárendelés lapon megjelenik az összes elérhető megfelelőségi adat. A nézetben minden sor egy olyan kiértékelési értéket jelöl, amelyet a gépen belül hajtottak végre. Az Ok oszlopban egy kifejezés jelenik meg, amely leírja, hogy a vendéghozzárendelés miért nem megfelelő. Ha például jelszószabályzatokat naplóz, az Ok oszlopban az egyes beállítások aktuális értékét tartalmazó szöveg jelenik meg.

Képernyőkép a vendég-hozzárendelés megfelelőségi adatairól.

Konfiguráció-hozzárendelés részleteinek megtekintése nagy méretekben

A vendégkonfigurációs funkció az Azure Policy-hozzárendeléseken kívül is használható. Az Azure Automanage például vendégkonfigurációs hozzárendeléseket hoz létre, vagy a gépek üzembe helyezésekor konfigurációkat rendelhet hozzá.

A bérlő összes vendégkonfigurációs hozzárendelésének megtekintéséhez nyissa meg a Vendéghozzárendelések lapot az Azure Portalon. A részletes megfelelőségi információk megtekintéséhez jelölje ki az egyes hozzárendeléseket a Név oszlop hivatkozásával.

Képernyőkép a Vendég-hozzárendelés lapról.

Változáselőzmények (előzetes verzió)

Egy új nyilvános előzetes verzió részeként az elmúlt 14 nap változási előzményei minden olyan Azure-erőforráshoz elérhetők, amelyek támogatják a teljes mód törlését. A változáselőzmények részletesen ismertetik, hogy mikor történt változás észlelése, és hogy az egyes módosításokhoz milyen vizualizációk jelennek meg. A változásészlelés akkor aktiválódik, ha az Azure Resource Manager-tulajdonságokat hozzáadják, eltávolítják vagy módosítják.

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

  2. Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy szabályzatot bármilyen megfelelőségi állapotban.

  3. A Szabályzatmegfelelés lap Erőforrás-megfelelőség lapján válasszon ki egy erőforrást.

  4. Az Erőforrás-megfelelőség lapon válassza az Előzmény módosítása (előzetes verzió) lapot. Megjelenik az észlelt módosítások listája, ha vannak ilyenek.

    Képernyőkép a Változáselőzmények lapról, és az Erőforrás-megfelelőség lapon észlelt változási időpontok.

  5. Válassza ki az észlelt módosítások egyikét. Az erőforrás vizualizációs diffje a Változáselőzmények lapon jelenik meg.

    Képernyőkép a Change History Visual Diff (Változáselőzmények) vizualizációról a Tulajdonságok módosítása lap tulajdonságok előtti és utáni állapotáról.

    A vizualizációs diff segíti az erőforrás változásainak azonosítását. Előfordulhat, hogy az észlelt módosítások nem kapcsolódnak az erőforrás aktuális megfelelőségi állapotához.

A változáselőzmények adatait az Azure Resource Graph szolgáltatja. Ha az Azure Portalon kívül szeretné lekérdezni ezeket az információkat, olvassa el az erőforrás-módosítások lekérése című témakört.

Következő lépések