Udostępnij za pośrednictwem

struktura zadań korygowania Azure Policy

  • Artykuł

Funkcja zadania korygowania Azure Policy służy do zapewnienia zgodności zasobów ustanowionych z definicji i przypisania. Zasoby, które nie są zgodne z przypisaniem definicji modyfikowania lub wdrażania programuIfNotExist , można przenieść do zgodności przy użyciu zadania korygowania. Zadanie korygowania wdraża szablon deployIFNotExist lub operacje modyfikowania do wybranych niezgodnych zasobów przy użyciu tożsamości określonej w przypisaniu. Zobacz strukturę przypisania zasad. aby dowiedzieć się, jak tożsamość jest definiowana i korygowana w samouczku dotyczącym niezgodnych zasobów w celu skonfigurowania tożsamości.

Uwaga

Zadania korygowania korygują exisiting zasobów, które nie są zgodne. Zasoby nowo utworzone lub zaktualizowane, które mają zastosowanie do przypisania deployIfNotExist lub modyfikowania definicji, są automatycznie korygowane.

Aby utworzyć zadanie korygowania zasad, użyj polecenia JavaScript Object Notation (JSON). Zadanie korygowania zasad zawiera elementy:

Na przykład poniższy kod JSON przedstawia zadanie korygowania zasad dla definicji zasad o nazwie część przypisania inicjatywy o nazwie requiredTagsresourceShouldBeCompliantInit ze wszystkimi ustawieniami domyślnymi.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Instrukcje dotyczące wyzwalania zadania korygowania w celu skorygowania niezgodnych zasobów

Uwaga

Nie można zmienić tych ustawień po uruchomieniu zadania korygowania.

Nazwa wyświetlana i opis

Nazwa displayName i opis służą do identyfikowania zadania korygowania zasad i udostępniania kontekstu do jego użycia. displayName ma maksymalną długość 128 znaków i opis maksymalnie 512 znaków.

Identyfikator przypisania zasad

To pole musi zawierać nazwę pełnej ścieżki przypisania zasad lub przypisania inicjatywy. policyAssignmentId jest ciągiem, a nie tablicą. Ta właściwość definiuje przypisanie hierarchii zasobów nadrzędnych lub pojedynczych zasobów do skorygowania.

Identyfikator definicji zasad

policyAssignmentId Jeśli element jest przeznaczony do przypisania inicjatywy, właściwość policyDefinitionReferenceId musi być używana do określenia definicji zasad w inicjatywie, które zasoby podmiotu mają zostać skorygowane. Ponieważ korygowanie może korygować tylko w zakresie jednej definicji, ta właściwość jest ciągiem , a nie tablicą. Wartość musi być zgodna z wartością w definicji inicjatywy w policyDefinitions.policyDefinitionReferenceId polu zamiast identyfikatora globalnego definicji Idzasad .

Liczba zasobów i wdrożenia równoległe

Użyj liczby zasobów , aby określić liczbę niezgodnych zasobów do skorygowania w danym zadaniu korygowania. Wartość domyślna to 500, a maksymalna liczba to 50 000. Wdrożenia równoległe określają liczbę tych zasobów do skorygowania w tym samym czasie. Dozwolony zakres wynosi od 1 do 30 z wartością domyślną 10.

Uwaga

Wdrożenia równoległe to liczba wdrożeń w ramach pojedynczego zadania korygowania z maksymalnie 30. W ramach inicjatywy może istnieć maksymalnie 100 zadań korygowania uruchomionych równolegle dla pojedynczej definicji zasad lub odwołania do zasad.

Próg niepowodzenia

Opcjonalna właściwość używana do określenia, czy zadanie korygowania powinno zakończyć się niepowodzeniem, jeśli wartość procentowa awarii przekroczy podany próg. Próg niepowodzenia jest reprezentowany jako liczba procentowa z zakresu od 0 do 100. Domyślnie próg niepowodzenia wynosi 100%, co oznacza, że zadanie korygowania będzie nadal korygować inne zasoby, nawet jeśli zasoby nie zostaną skorygowane.

Filtry korygowania

Opcjonalna właściwość uściśli, jakie zasoby mają zastosowanie do zadania korygowania. Dozwolony filtr to lokalizacja zasobu. O ile nie określono, zasoby z dowolnego regionu można skorygować.

Tryb odnajdywania zasobów

Ta właściwość decyduje, jak odnajdywać zasoby kwalifikujące się do korygowania. Aby zasób mógł kwalifikować się, musi być niezgodny. Domyślnie wartość tej właściwości to ExistingNonCompliant. Można go również ustawić na ReEvaluateCompliancewartość , co spowoduje wyzwolenie nowego skanowania zgodności dla tego przypisania i skorygowanie wszystkich zasobów, które zostały znalezione niezgodnie.

Podsumowanie stanu i wdrożenia aprowizacji

Po utworzeniu zadania korygowania zostaną wypełnione właściwości stanu aprowizacji i podsumowania wdrożenia . Stan aprowizacji wskazuje stan zadania korygowania. Zezwalaj na wartości to Running, , Canceled, Cancelling, Failed, Completelub Succeeded. Podsumowanie wdrożenia to właściwość tablicy wskazująca liczbę wdrożeń wraz z liczbą wdrożeń zakończonych powodzeniem i niepowodzeniem.

Przykład zadania korygowania zakończone pomyślnie:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Następne kroki