Compartilhar via

Estrutura da tarefa de correção do Azure Policy

  • Artigo

O recurso de tarefa de correção do Azure Policy é usado para colocar recursos em conformidade estabelecidos a partir de uma definição e uma atribuição. Recursos que estão sem conformidade com uma atribuição de definição modificar ou deployIfNotExists podem ser ajustados para conformidade utilizando uma tarefa de correção. Uma tarefa de correção implanta o modelo deployIfNotExists ou as operações modify nos recursos sem conformidade selecionados utilizando a identidade especificada na atribuição. Para obter mais informações, consulte estrutura de atribuição de política para entender como a identidade é definida e tutorial para corrigir recursos sem conformidade para configurar a identidade.

Tarefas de correção corrigem recursos existentes que não estão em conformidade. Recursos recém-criados ou atualizados, aplicáveis a uma atribuição de definição deployIfNotExists ou modify, são automaticamente corrigidos.

Observação

O serviço Azure Policy exclui os recursos da tarefa de correção 60 dias após sua última modificação.

Use JSON (JavaScript Object Notation) para criar uma tarefa de correção de política. A tarefa de correção de política contém elementos para:

Por exemplo, o JSON a seguir mostra uma tarefa de correção de política para a definição de política chamada requiredTags, parte de uma atribuição de iniciativa chamada resourceShouldBeCompliantInit com todas as configurações padrão.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Etapas sobre como disparar uma tarefa de correção em guia para corrigir recursos sem conformidade. Essas configurações não podem ser alteradas após  o início da tarefa de correção.

ID de atribuição de política

Este campo deve conter o nome completo do caminho de uma atribuição de política ou de iniciativa. policyAssignmentId é uma cadeia de caracteres e não uma matriz. Essa propriedade define qual atribuição a hierarquia de recursos pai ou o recurso individual corrigir.

ID de definição de política

Se a policyAssignmentId for para uma atribuição de iniciativa, a propriedade policyDefinitionReferenceId deve ser usada para especificar qual definição de política na iniciativa os recursos de entidade devem ser corrigidos. Como uma correção só pode ser feita em um escopo de uma definição, essa propriedade é uma cadeia de caracteres e não uma matriz. O valor precisa corresponder ao valor da definição de iniciativa no campo policyDefinitions.policyDefinitionReferenceId em vez do identificador global para a definição de política Id.

Contagem de recursos e implantações paralelas

Use resourceCount para determinar quantos recursos sem conformidade corrigir em uma determinada tarefa de correção. O valor padrão é 500 e o número máximo é 50.000. parallelDeployments determina quantos desses recursos corrigir ao mesmo tempo. O intervalo permitido é entre 1 e 30 e o valor padrão é 10.

Implantações paralelas são o número de implantações em uma tarefa de correção única, com no máximo 30. Pode haver um máximo de 100 tarefas de remediação em execução em paralelo para uma única definição de política ou referência de política dentro de uma iniciativa.

Limite de falhas

Uma propriedade opcional usada para especificar se a tarefa de correção deve falhar se o percentual de falhas exceder o limite especificado. O failureThreshold é representado como um número percentual de 0 a 100. Por padrão, o limite de falhas é de 100%, o que significa que a tarefa de correção continua a corrigir outros recursos, mesmo que alguns recursos falhem ao ser corrigidos.

Filtros de correção

Uma propriedade opcional refina quais recursos são aplicáveis à tarefa de correção. O filtro permitido é o local do recurso. A menos que especificado, os recursos de qualquer região podem ser corrigidos.

Modo de descoberta de recursos

Essa propriedade decide como descobrir recursos qualificados para correção. Para que um recurso seja qualificado, ele não deve estar em conformidade. Por padrão, essa propriedade é definida como ExistingNonCompliant. Também pode ser configurado para ReEvaluateCompliance, o que dispara uma nova varredura de conformidade para essa atribuição e corrige quaisquer recursos que estejam fora de conformidade.

Estado de provisionamento e resumo da implantação

Uma vez criada uma tarefa de correção, as propriedades ProvisioningState e DeploymentSummary são preenchidas. O ProvisioningState indica o status da tarefa de correção. Os valores permitidos são Running, Canceled, Cancelling, Failed, Complete ou Succeeded. O DeploymentSummary é uma propriedade de matriz que indica o número de implantações, junto com o número de implantações bem-sucedidas e falhadas.

Exemplo de tarefa de correção concluída com êxito:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Próximas etapas