Bagikan melalui

Struktur tugas remediasi Azure Policy

  • Artikel

Fitur tugas remediasi Azure Policy digunakan untuk membawa sumber daya ke kepatuhan yang ditetapkan dari definisi dan penugasan. Sumber daya yang tidak sesuai dengan penetapan definisi modifikasi atau deployIfNotExists , dapat dibawa ke kepatuhan menggunakan tugas remediasi. Tugas remediasi menyebarkan deployIfNotExists templat atau modify operasi ke sumber daya yang tidak patuh yang dipilih menggunakan identitas yang ditentukan dalam penugasan. Untuk informasi selengkapnya, lihat struktur penetapan kebijakan untuk memahami bagaimana identitas ditentukan dan memulihkan tutorial sumber daya yang tidak sesuai untuk mengonfigurasi identitas.

Tugas remediasi memulihkan sumber daya yang ada yang tidak sesuai. Sumber daya yang baru dibuat atau diperbarui yang berlaku untuk deployIfNotExists penetapan definisi atau modify diperbaiki secara otomatis.

Catatan

Layanan Azure Policy menghapus sumber daya tugas remediasi 60 hari setelah modifikasi terakhir mereka.

Anda menggunakan JavaScript Object Notation (JSON) untuk membuat tugas remediasi kebijakan. Tugas remediasi kebijakan berisi elemen untuk:

Misalnya, JSON berikut menunjukkan tugas remediasi kebijakan untuk definisi kebijakan bernama requiredTags bagian dari penetapan inisiatif bernama resourceShouldBeCompliantInit dengan semua pengaturan default.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Langkah-langkah tentang cara memicu tugas remediasi tentang cara memulihkan panduan sumber daya yang tidak sesuai. Pengaturan ini tidak dapat diubah setelah tugas remediasi dimulai.

ID penetapan kebijakan

Bidang ini harus berupa nama jalur lengkap penugasan kebijakan atau penugasan inisiatif. policyAssignmentId adalah untai (karakter) dan bukan array. Properti ini mendefinisikan penetapan hierarki sumber daya induk atau sumber daya individual mana yang akan diperbaiki.

ID definisi Policy

policyAssignmentId Jika adalah untuk penetapan inisiatif, policyDefinitionReferenceId properti harus digunakan untuk menentukan definisi kebijakan mana dalam inisiatif sumber daya subjek yang akan diperbaiki. Karena remediasi hanya dapat memulihkan dalam cakupan satu definisi, properti ini adalah string dan bukan array. Nilai harus cocok dengan nilai dalam definisi inisiatif di policyDefinitions.policyDefinitionReferenceId bidang alih-alih pengidentifikasi global untuk definisi Idkebijakan .

Jumlah sumber daya dan penyebaran paralel

Gunakan resourceCount untuk menentukan berapa banyak sumber daya yang tidak sesuai untuk diperbaiki dalam tugas remediasi tertentu. Nilai defaultnya adalah 500, dengan jumlah maksimum adalah 50.000. parallelDeployments menentukan berapa banyak sumber daya yang akan diperbaiki pada saat yang sama. Rentang yang diizinkan adalah antara 1 hingga 30 dengan nilai default adalah 10.

Penyebaran paralel adalah jumlah penyebaran dalam tugas remediasi tunggal dengan maksimum 30. Mungkin ada maksimal 100 tugas remediasi yang berjalan secara paralel untuk satu definisi kebijakan atau referensi kebijakan dalam inisiatif.

Ambang kegagalan

Properti opsional yang digunakan untuk menentukan apakah tugas remediasi harus gagal jika persentase kegagalan melebihi ambang yang diberikan. dinyatakan failureThreshold sebagai angka persentase dari 0 hingga 100. Secara default, ambang kegagalan adalah 100%, yang berarti bahwa tugas remediasi terus memulihkan sumber daya lain bahkan jika sumber daya gagal diperbaiki.

Filter remediasi

Properti opsional menyempurnakan sumber daya apa yang berlaku untuk tugas remediasi. Filter yang diizinkan adalah lokasi sumber daya. Kecuali ditentukan, sumber daya dari wilayah mana pun dapat diperbaiki.

Mode penemuan sumber daya

Properti ini memutuskan cara menemukan sumber daya yang memenuhi syarat untuk remediasi. Agar sumber daya memenuhi syarat, sumber daya harus tidak patuh. Secara default, properti ini diatur ke ExistingNonCompliant. Ini juga dapat diatur ke ReEvaluateCompliance, yang memicu pemindaian kepatuhan baru untuk penugasan tersebut dan memulihkan sumber daya apa pun yang ditemukan tidak patuh.

Status provisi dan ringkasan penyebaran

Setelah tugas remediasi dibuat, ProvisioningState dan DeploymentSummary properti diisi. ProvisioningState menunjukkan status tugas remediasi. Izinkan nilai adalah Running, , CanceledCancelling, Failed, Complete, atau Succeeded. DeploymentSummary adalah properti array yang menunjukkan jumlah penyebaran bersama dengan jumlah penyebaran yang berhasil dan gagal.

Sampel tugas remediasi yang berhasil diselesaikan:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Langkah berikutnya