Estrutura da tarefa de correção do Azure Policy

  • Artigo

O recurso de tarefa de correção do Azure Policy é usado para colocar recursos em conformidade estabelecidos a partir de uma definição e uma atribuição. Os recursos sem conformidade com uma atribuição de definição modify ou deployIfNotExist podem ser colocados em conformidade usando uma tarefa de correção. A tarefa de correção implanta o modelo deployIFNotExist ou as operações modify aos recursos sem conformidade usando a identidade especificada na atribuição. Veja estrutura de atribuição de política. para entender como a identidade é definida e o tutorial de correção de recursos sem conformidade para configurar a identidade.

Observação

As tarefas de correção corrigem recursos existentes que não estão em conformidade. Os recursos recém-criados ou atualizados aplicáveis a uma atribuição de definição deployIfNotExist ou modify são corrigidos automaticamente.

Use JSON (JavaScript Object Notation) para criar uma tarefa de correção de política. A tarefa de correção de política contém elementos para:

Por exemplo, o JSON a seguir mostra uma tarefa de correção de política para a definição de política chamada requiredTags, parte de uma atribuição de iniciativa chamada resourceShouldBeCompliantInit com todas as configurações padrão.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Etapas sobre como disparar uma tarefa de correção no guia de correção de recursos sem conformidade

Observação

Essas configurações não podem ser alteradas depois que a tarefa de correção é iniciada.

Nome de exibição e descrição

Use displayName e description para identificar a tarefa de correção de política e fornecer contexto para seu uso. displayName tem um comprimento máximo de 128 caracteres e description tem um comprimento máximo de 512 caracteres.

ID de atribuição de política

Este campo deve conter o nome completo do caminho de uma atribuição de política ou de iniciativa. policyAssignmentId é uma cadeia de caracteres e não uma matriz. Essa propriedade define qual atribuição a hierarquia de recursos pai ou o recurso individual corrigir.

ID de definição de política

Caso policyAssignmentId se refira a uma atribuição de iniciativa, a propriedade policyDefinitionReferenceId precisa ser usada para especificar a definição de política na iniciativa dos recursos em questão que deve ser corrigida. Como uma correção só pode ser feita em um escopo de uma definição, essa propriedade é uma cadeia de caracteres e não uma matriz. O valor precisa corresponder ao valor da definição de iniciativa no campo policyDefinitions.policyDefinitionReferenceId em vez do identificador global para a definição de política Id.

Contagem de recursos e implantações paralelas

Use a contagem de recursos para determinar quantos recursos sem conformidade serão corrigidos em uma determinada tarefa de correção. O valor padrão é 500 e o número máximo é 50.000. As implantações paralelas determinam quantos desses recursos devem ser corrigidos ao mesmo tempo. O intervalo permitido é entre 1 e 30 e o valor padrão é 10.

Observação

Implantações paralelas são o número de implantações em uma tarefa de correção única, com no máximo 30. Pode haver um máximo de 100 tarefas de remediação em execução em paralelo para uma única definição de política ou referência de política dentro de uma iniciativa.

Limite de falhas

Uma propriedade opcional usada para especificar se a tarefa de correção deve falhar se o percentual de falhas exceder o limite especificado. O limite de falhas é representado como um número percentual de 0 a 100. Por padrão, o limite de falhas é de 100%, o que significa que a tarefa de correção continuará a corrigir outros recursos mesmo que os recursos não sejam corrigidos.

Filtros de correção

Uma propriedade opcional refina quais recursos são aplicáveis à tarefa de correção. O filtro permitido é o local do recurso. A menos que especificado, os recursos de qualquer região podem ser corrigidos.

Modo de descoberta de recursos

Essa propriedade decide como descobrir recursos qualificados para correção. Para que um recurso seja qualificado, ele não deve estar em conformidade. Por padrão, essa propriedade é definida como ExistingNonCompliant. Ele também pode ser definido como ReEvaluateCompliance, o que disparará uma nova verificação de conformidade para essa atribuição e corrigirá todos os recursos encontrados sem conformidade.

Estado de provisionamento e resumo da implantação

Depois que uma tarefa de correção é criada, as propriedades estado de provisionamento e resumo da implantação O estado de provisionamento indica o status da tarefa de correção. Os valores permitidos são Running, Canceled, Cancelling, Failed, Complete ou Succeeded. O resumo da implantação é uma propriedade de matriz que indica o número de implantações, juntamente com o número de implantações bem-sucedidas e com falha.

Exemplo de tarefa de correção concluída com êxito:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Próximas etapas