Olvasás angol nyelven

Megosztás a következőn keresztül:

Az Azure-erőforrások megfelelőségi adatainak lekérése

  • Cikk

Az Azure Policy egyik legnagyobb előnye, hogy betekintést és vezérlést biztosít az előfizetések vagy az előfizetések felügyeleti csoportjában lévő erőforrások felett. Ez a vezérlő megakadályozhatja, hogy az erőforrások rossz helyen legyenek létrehozva, általános és konzisztens címkehasználatot kényszerítsen ki, vagy a meglévő erőforrásokat a megfelelő konfigurációkhoz és beállításokhoz naplózhatja. Az Azure Policy minden esetben olyan adatokat hoz létre, amelyek lehetővé teszik a környezet megfelelőségi állapotának megértését.

A megfelelőségi adatok áttekintése előtt fontos megismerni az Azure Policy megfelelőségi állapotát .

A szabályzat- és kezdeményezési hozzárendelések által létrehozott megfelelőségi információk többféleképpen is elérhetők:

Mielőtt áttekintené a megfelelőségi jelentéskészítés módszereit, nézzük meg, hogy mikor frissülnek a megfelelőségi információk, és hogy milyen gyakorisággal és események indítják el a kiértékelési ciklust.

Kiértékelési eseményindítók

A befejezett kiértékelési ciklus eredményei elérhetők az erőforrás-szolgáltatóban a Microsoft.PolicyInsights műveleteken PolicyEvents keresztülPolicyStates. Az Azure Policy Insights REST API működésével kapcsolatos további információkért tekintse meg az Azure Policy Insightst.

A hozzárendelt szabályzatok és kezdeményezések értékelése különböző események eredményeként történik:

  • Egy szabályzat vagy kezdeményezés újonnan van hozzárendelve egy hatókörhöz. A hozzárendelés a megadott hatókörre való alkalmazása körülbelül öt percet vesz igénybe, majd a kiértékelési ciklus megkezdődik az újonnan hozzárendelt szabályzattal vagy kezdeményezéssel szemben alkalmazandó erőforrások esetében. A használt hatásoktól függően az erőforrások megfelelőként, nem megfelelőként, kivételként vagy ismeretlenként vannak megjelölve. A nagy mennyiségű erőforrással kiértékelt nagy szabályzatok vagy kezdeményezések időigényesek lehetnek, így nem várható előre, hogy mikor fejeződik be az értékelési ciklus. A befejezés után frissített megfelelőségi eredmények érhetők el a portálon és a szoftverfejlesztői készletekben (SDK-k).
  • Egy hatókörhöz már hozzárendelt szabályzat vagy kezdeményezés frissül. A forgatókönyv kiértékelési ciklusa és időzítése megegyezik a hatókörhöz való új hozzárendeléssel.
  • Egy erőforrás üzembe helyezve vagy frissítve van egy hatókörön belül egy hozzárendeléssel az Azure Resource Manageren, a REST API-on vagy egy támogatott SDK-on keresztül. Ebben a forgatókönyvben a effektusesemény (hozzáfűzés, naplózás, megtagadás, üzembe helyezés) és az adott erőforrás megfelelő állapotadatai körülbelül 15 perccel később elérhetővé válnak a portálon és az SDK-kban. Ez az esemény nem okoz más erőforrások kiértékelését.
  • A rendszer létrehoz vagy áthelyez egy előfizetést (erőforrástípust Microsoft.Resources/subscriptions) egy felügyeleticsoport-hierarchiában , amelynek hozzárendelt szabályzatdefiníciója az előfizetés erőforrástípusát célozza. Az előfizetés által támogatott hatások (audit, auditIfNotExist, deployIfNotExists, modify), naplózás és a szervizelési műveletek kiértékelése körülbelül 30 percet vesz igénybe.
  • Létrejön , frissít vagy töröl egy házirend-kivételt . Ebben a forgatókönyvben a megfelelő hozzárendelés kiértékelése a megadott kivételi hatókörhöz történik.
  • Standard megfelelőségi értékelési ciklus. 24 óránként automatikusan újraértékesíti a feladatokat. Sok erőforrás nagy szabályzata vagy kezdeményezése időt vehet igénybe, ezért nem várható előre, hogy mikor fejeződik be az értékelési ciklus. Miután elkészült, a frissített megfelelőségi eredmények elérhetők a portálon és az SDK-kban.
  • A gép konfigurációs erőforrás-szolgáltatója egy felügyelt erőforrás megfelelőségi adataival frissül.
  • Igény szerinti vizsgálat.

Megjegyzés

Az Azure Policy az előfizetések és erőforráscsoportok kivételével kivételt képez az Microsoft.Resources erőforrás-szolgáltató összes erőforrásának szabályzatértékelése alól, amely kiértékelhető.

Igény szerinti értékelési vizsgálat

Az előfizetések vagy erőforráscsoportok kiértékelési vizsgálata a REST, az Azure CLI, az Azure PowerShell, a Visual Studio Code Azure Policy-bővítménye vagy az Azure Policy Compliance Scan GitHub Action használatával indítható el. Az igény szerinti vizsgálatok aszinkron folyamatok, amelyek futtatása hosszú időt vesz igénybe, mivel az erőforrások kiértékelése az összes hozzárendelt szabályzat alapján történik.

Megjegyzés

Nem minden Azure-erőforrás-szolgáltató támogatja az igény szerinti kiértékelési vizsgálatokat. Az Azure Virtual Network Manager (AVNM) például jelenleg nem támogatja sem a manuális eseményindítókat, sem a standard szabályzatmegfelelőségi értékelési ciklust (napi vizsgálatok).

Igény szerinti kiértékelési vizsgálat REST használatával

Aszinkron folyamatként a vizsgálat indításához szükséges REST-végpont nem várja meg, amíg a vizsgálat befejeződik a válaszadáshoz. Ehelyett egy URI-t biztosít a kért értékelés állapotának lekérdezéséhez.

Minden REST API URI tartalmaz olyan változókat, amelyeket le kell cserélnie saját értékekre:

  • {resourceGroupName}: Helyettesítse az erőforráscsoport nevével.
  • {subscriptionId}: Cserélje le az előfizetés azonosítóját.

A vizsgálat támogatja az előfizetésben vagy erőforráscsoportban lévő erőforrások kiértékelését. Vizsgálat indítása hatókör szerint egy REST API POST-paranccsal a következő URI-struktúrák használatával:

Az előfizetés kiértékeléséhez használja az alábbi parancsot. A parancsot a böngészőből futtathatja a Policy States – Trigger Subscription Evaluation (Előfizetés-kiértékelés aktiválása) lehetőséggel.

HTTP 
POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/policyStates/latest/triggerEvaluation?api-version=2019-10-01

Az erőforráscsoport kiértékeléséhez használja az alábbi parancsot. A parancsot a böngészőből futtathatja a Policy States – Trigger Resource Group Evaluation (Erőforráscsoport-kiértékelés aktiválása) lehetőséggel.

HTTP 
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/policyStates/latest/triggerEvaluation?api-version=2019-10-01

Az előfizetés és az erőforráscsoport REST API-hívásai 202 elfogadott állapotot adnak vissza. A válaszfejléc location egy olyan tulajdonság, amelynek formátuma a következő:

HTTP 
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/asyncOperationResults/{ResourceContainerGUID}?api-version=2019-10-01

{ResourceContainerGUID} statikusan jön létre a kért hatókörhöz. Ha egy hatókör már futtat egy igény szerinti vizsgálatot, az új vizsgálat nem indul el. Ehelyett az új kérés ugyanazzal {ResourceContainerGUID}location az URI-val rendelkezik az állapothoz. Az URI REST API GET parancsa location egy 202 Elfogadva értéket ad vissza, amíg a kiértékelés folyamatban van. Ha a kiértékelési vizsgálat befejeződött, 200 OK állapotot ad vissza. A befejezett vizsgálat törzse egy JSON-válasz, amelynek állapota: succeeded.

Igény szerinti kiértékelési vizsgálat az Azure CLI használatával

A megfelelőségi vizsgálat az az policy state trigger-scan paranccsal kezdődik.

Alapértelmezés szerint az policy state trigger-scan elindítja az aktuális előfizetés összes erőforrásának kiértékelését. Ha egy adott erőforráscsoporton szeretne kiértékelni, használja a paramétert resource-group . Az alábbi példa egy erőforráscsoport aktuális előfizetésében elindít egy megfelelőségi vizsgálatot. Cserélje le resourceGroupName az erőforráscsoport nevére:

Azure CLI 
az policy state trigger-scan --resource-group "resourceGroupName"

A paraméter folytatása előtt no-wait dönthet úgy, hogy nem várja meg, amíg az aszinkron folyamat befejeződik.

Igény szerinti kiértékelési vizsgálat az Azure PowerShell használatával

A megfelelőségi vizsgálat a Start-AzPolicyComplianceScan parancsmaggal kezdődik.

Alapértelmezés szerint Start-AzPolicyComplianceScan elindítja az aktuális előfizetés összes erőforrásának kiértékelését. Ha egy adott erőforráscsoporton szeretne kiértékelni, használja a paramétert ResourceGroupName . Az alábbi példa egy erőforráscsoport aktuális előfizetésében elindít egy megfelelőségi vizsgálatot. Cserélje le resourceGroupName az erőforráscsoport nevére:

Azure PowerShell 
Start-AzPolicyComplianceScan -ResourceGroupName 'resourceGroupName'

A PowerShell megvárhatja, amíg az aszinkron hívás befejeződik, mielőtt megadja az eredménykimenetet, vagy feladatként futtatja a háttérben. Ha PowerShell-feladattal szeretné futtatni a megfelelőségi vizsgálatot a háttérben, használja a AsJob paramétert, és állítsa be az értéket egy objektumra, például $job ebben a példában:

Azure PowerShell 
$job = Start-AzPolicyComplianceScan -AsJob

A feladat állapotának ellenőrzéséhez ellenőrizze az $job objektumot. A feladat típusa Microsoft.Azure.Commands.Common.AzureLongRunningJob. Használja Get-Member az objektumot az $job elérhető tulajdonságok és metódusok megtekintéséhez.

Amíg a megfelelőségi vizsgálat fut, az $job objektum kimenetének ellenőrzése az alábbihoz hasonló eredményeket eredményez:

Azure PowerShell 
$job

Id     Name              PSJobTypeName     State    HasMoreData     Location   Command
--     ----              -------------     -----    -----------     --------   -------
2      Long Running O... AzureLongRunni... Running  True            localhost  Start-AzPolicyCompliance...

Amikor a megfelelőségi vizsgálat befejeződik, a State tulajdonság Befejezve értékre változik.

Igény szerinti kiértékelési vizsgálat a Visual Studio Code használatával

A Visual Studio Code Azure Policy-bővítménye képes egy adott erőforrás kiértékelési vizsgálatának futtatására. Ez a vizsgálat szinkron folyamat, ellentétben az Azure PowerShell és a REST metódusokkal. További részletekért és lépésekért tekintse meg a VS Code bővítmény igény szerinti kiértékelését.

Igény szerinti kiértékelési vizsgálat a GitHub Actions használatával

Az Azure Policy Compliance Scan műveletével igény szerinti kiértékelést indíthat el a GitHub-munkafolyamatból egy vagy több erőforráson, erőforráscsoporton vagy előfizetésen, és az erőforrások megfelelőségi állapota alapján kaput nyithat a munkafolyamatban. A munkafolyamatot úgy is konfigurálhatja, hogy ütemezett időpontban fusson, hogy kényelmesen megkapja a legújabb megfelelőségi állapotot. A GitHub Actions igény szerint jelentést készíthet a beolvasott erőforrások megfelelőségi állapotáról további elemzés vagy archiválás céljából.

Az alábbi példa egy előfizetés megfelelőségi vizsgálatát futtatja. Használja scopes az előfizetés azonosítóját.

YAML 
on:
  schedule:
    - cron:  '0 8 * * *'  # runs every morning 8am
jobs:
  assess-policy-compliance:
    runs-on: ubuntu-latest
    steps:
    - name: Login to Azure
      uses: azure/login@v2
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Check for resource compliance
      uses: azure/policy-compliance-scan@v0
      with:
        scopes: |
          /subscriptions/aaaa6a6a-bb7b-cc8c-dd9d-eeeeee0e0e0e

További információ és munkafolyamat-minták: GitHub Actions for Azure Policy Compliance Scan adattár.

Portál

Az Azure Portal grafikus élményt nyújt a környezet megfelelőségi állapotának vizualizációjához és megértéséhez. A Szabályzat lapon az Áttekintés lehetőség részletes információkat nyújt a szabályzatok és kezdeményezések megfelelőségéről rendelkezésre álló hatókörökről. A megfelelőségi állapot és a hozzárendelésenkénti szám mellett egy diagramot is tartalmaz, amely az elmúlt hét nap megfelelőségét mutatja. A Megfelelőségi oldal sok hasonló információt tartalmaz (kivéve a diagramot), de több szűrési és rendezési lehetőséget biztosít.

Képernyőkép a Megfelelőségi oldalról, a szűrési lehetőségekről és a részletekről.

Mivel egy szabályzat vagy kezdeményezés különböző hatókörökhöz rendelhető hozzá, a tábla tartalmazza az egyes hozzárendelések hatókörét és a hozzárendelt definíció típusát. Az egyes hozzárendelésekhez a nem megfelelő erőforrások és a nem megfelelő szabályzatok száma is meg van adva. Ha kiválaszt egy szabályzatot vagy kezdeményezést a táblázatban, részletesebben áttekintheti az adott hozzárendelés megfelelőségét.

Képernyőkép a Megfelelőség részletei lapról, beleértve a darabszámokat és az erőforrás-kompatibilis adatokat.

Az Erőforrásmegfelelőség lapon található erőforrások listája az aktuális hozzárendeléshez tartozó meglévő erőforrások kiértékelési állapotát mutatja. A lap alapértelmezés szerint nem megfelelő, de szűrhető. Az erőforrás létrehozására irányuló kérés által aktivált események (hozzáfűzés, naplózás, megtagadás, üzembe helyezés, módosítás) az Események lapon jelennek meg.

Képernyőkép a Megfelelőség részletei lap Események lapjáról.

Erőforrás-szolgáltató módú erőforrások esetén az Erőforrás-megfelelőség lapon válassza ki az erőforrást, vagy kattintson a jobb gombbal a sorra, és válassza a Megfelelőségi adatok megtekintése lehetőséget, és megnyitja az összetevő megfelelőségi adatait. Ezen a lapon lapfülek is találhatók az erőforráshoz, eseményekhez, összetevőeseményekhez és változáselőzményekhez rendelt szabályzatok megtekintéséhez.

Képernyőkép az Összetevő-megfelelőség lapról és az erőforrás-szolgáltatói mód hozzárendelésének megfelelőségi részleteiről.

Térjen vissza az erőforrás-megfelelőségi oldalra, és tartsa lenyomva (vagy kattintson rá a jobb gombbal) azon az eseményen, amelyen további részleteket szeretne gyűjteni, és válassza a Tevékenységnaplók megjelenítése lehetőséget. Megnyílik a tevékenységnapló lapja, és a program előre módosítja a kereséshez a hozzárendelés és az események részleteit megjelenítő kereséshez. A tevékenységnapló több kontextust és információt tartalmaz ezekről az eseményekről.

Az Azure Policy-tevékenységek és -értékelések tevékenységnaplójának képernyőképe.

Megjegyzés

A megfelelőségi eredmények az Azure Resource Graph-lekérdezésekkel exportálhatók a portálról.

Parancssor

A portálon elérhető információk lekérhetők a REST API-val, az Azure CLI-vel és az Azure PowerShell-lel.

REST API

A REST API-val kapcsolatos részletekért tekintse meg az Azure Policy-referenciát. A REST API referenciaoldalain minden művelethez tartozik egy Kipróbálás lehetőség, amely lehetővé teszi a parancs böngészőben való futtatását. Parancsok futtatásához használhatja az Azure CLI-t vagy az előnyben részesített REST API-ügyfelet is.

Eredmények összegzése

A REST API-val tároló, definíció vagy hozzárendelés szerint összegzhető. Íme egy példa az előfizetés szintjén végzett összegzésre az Azure Policy Insights előfizetéshez készült összegzésével:

HTTP 
POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/policyStates/latest/summarize?api-version=2019-10-01

A kimenet összegzi az előfizetést, és az összegzett megfelelőség a tulajdonságokban és nonCompliantPolicies a nonCompliantResources tulajdonságokban található. Ez a kérés további részleteket is tartalmaz, beleértve a nem megfelelő számokat alkotó hozzárendeléseket és az egyes hozzárendelések definíciós adatait. A hierarchia minden egyes szabályzatobjektuma rendelkezik egy queryResultsUri olyan objektummal, amellyel részletesebben tájékozódhat ezen a szinten.

Erőforrások lekérdezése

Az előző példában value.policyAssignments.policyDefinitions.results.queryResultsUri egy minta URI-t biztosít az összes nem megfelelő erőforráshoz egy adott szabályzatdefinícióhoz. Az értékben a $filter ComplianceState értéke egyenlő (eq) NonCompliantPolicyAssignmentId a szabályzatdefinícióhoz, majd magát a PolicyDefinitionId azonosítót adja meg. A szűrőbe való beleadás PolicyAssignmentId oka az, hogy a PolicyDefinitionId szűrő több különböző hatókörű szabályzat- vagy kezdeményezés-hozzárendelésben is létezhet. Ha mind a kettőt, mind az PolicyAssignmentIdPolicyDefinitionIdértéket megadja, explicitek is lehetnek a keresett eredmények. Korábban használtuklatest, PolicyStates amely automatikusan beállítja fromto az elmúlt 24 óra időkeretét.

Példa az értékre queryResultsUri :

HTTP 
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/policyStates/latest/queryResults?api-version=2019-10-01&$from=2025-01-01 04:28:22Z&$to=2025-02-10 04:28:22Z&$filter=ComplianceState eq 'NonCompliant' and PolicyAssignmentId eq '/subscriptions/{subscriptionId}/resourcegroups/rg-tags/providers/microsoft.authorization/policyassignments/37ce239ae4304622914f0c77' and PolicyDefinitionId eq '/providers/microsoft.authorization/policydefinitions/1e30110a-5ceb-460c-a204-c1c3969c6d62'

Események megtekintése

Erőforrás létrehozásakor vagy frissítésekor a rendszer szabályzatértékelési eredményt hoz létre. Az eredményeket szabályzateseményeknek nevezzük. Az előfizetéshez társított legutóbbi szabályzatesemények megtekintéséhez használja az alábbi URI-t.

HTTP 
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/policyEvents/default/queryResults?api-version=2019-10-01

További információ a szabályzatesemények lekérdezéséről: Azure Policy Events.

Azure CLI

Az Azure Policy Azure CLI-parancscsoportja a REST-ben vagy az Azure PowerShellben elérhető legtöbb műveletre vonatkozik. Az elérhető parancsok teljes listáját az az policy-ben találja.

A legmagasabb számú nem megfelelő erőforrással rendelkező legfelső hozzárendelt szabályzat állapotösszegzőjének lekérése.

Azure CLI 
az policy state summarize --top 1

Kérje le a legutóbb kiértékelt erőforrás állapotrekordját, és a kimenet alapértelmezett értéke időbélyeg szerint csökkenő sorrendben van.

Azure CLI 
az policy state list --top 1

Szerezze be az összes nem megfelelő virtuális hálózati erőforrás részleteit.

Azure CLI 
az policy state list --filter "ResourceType eq 'Microsoft.Network/virtualNetworks'"

Lekérheti a nem megfelelő virtuális hálózati erőforrásokhoz kapcsolódó eseményeket, amelyek egy adott dátum után következtek be. Használja a from paramétert egy ISO 8601 formátumú dátummal.

Azure CLI 
az policy event list --filter "ResourceType eq 'Microsoft.Network/virtualNetworks'" --from '2025-02-10T00:00:00Z'

Azure PowerShell

Az alábbi parancsokat az Azure Cloud Shellből futtathatja.

A legmagasabb számú nem megfelelő erőforrással rendelkező legfelső hozzárendelt szabályzat állapotösszegzőjének lekérése.

Azure PowerShell 
Get-AzPolicyStateSummary -Top 1

A legutóbb kiértékelt erőforrás állapotrekordjának lekérése. A kimenet alapértelmezett értéke az időbélyeg csökkenő sorrendben.

Azure PowerShell 
Get-AzPolicyState -Top 1

Szerezze be az összes nem megfelelő virtuális hálózati erőforrás részleteit.

Azure PowerShell 
Get-AzPolicyState -Filter "ResourceType eq '/Microsoft.Network/virtualNetworks'"

Lekérheti a nem megfelelő virtuális hálózati erőforrásokhoz kapcsolódó eseményeket, amelyek egy adott dátum után következtek be. Használja a From paramétert egy ISO 8601 formátumú dátummal.

Azure PowerShell 
Get-AzPolicyEvent -Filter "ResourceType eq '/Microsoft.Network/virtualNetworks'" -From '2025-02-10'

A kimenet tartalmaz egy tulajdonságot PrincipalOid , amely egy adott felhasználó azure PowerShell-parancsmaggal Get-AzADUservaló lekérésére használható. Cserélje le {principalOid} az előző parancsból kapott értékre.

Azure PowerShell 
(Get-AzADUser -ObjectId {principalOid}).DisplayName

Azure Monitor-naplók

Ha rendelkezik egy Log Analytics-munkaterülettel , amely AzureActivity az előfizetéséhez tartozó Tevékenységnapló-elemzési megoldásból származik, megtekintheti az új és frissített erőforrások Kusto-lekérdezésekkel és a AzureActivity táblával végzett kiértékelésének nemmegfelelőségi eredményeit is. Az Azure Monitor-naplók részleteivel a riasztások konfigurálhatók úgy, hogy figyeljék a meg nem feleléseket.

Azure Resource Graph

A megfelelőségi rekordokat az Azure Resource Graph (ARG) tárolja. Az adatok exportálhatók az ARG-lekérdezésekből, hogy testre szabott irányítópultokat alakítsanak ki az érdeklődési körök és szabályzatok alapján. Tekintse át a megfelelőségi adatok ARG-on keresztüli exportálására vonatkozó mintalekérdezéseinket.

Következő lépések