Политика Azure структура задачи исправления

  • Статья

Функция задачи исправления Политика Azure используется для приведения ресурсов в соответствие, установленное из определения и назначения. Ресурсы, которые не соответствуют назначению определения modify или deployIfNotExist , можно обеспечить соответствие с помощью задачи исправления. Задача исправления развертывает шаблон deployIFNotExist или операции изменения в выбранных несоответствующих ресурсах с использованием удостоверения, указанного в назначении. См. раздел Структура назначения политики. Чтобы понять, как удостоверение определяется и исправлять несоответствующие ресурсы, руководство по настройке удостоверения.

Примечание

Задачи исправления исправляют ресурсы, которые не соответствуют требованиям. Вновь созданные или обновленные ресурсы, применимые к назначению определения deployIfNotExist или modify, исправляются автоматически.

Для создания задачи исправления политики используется нотация объектов JavaScript (JSON). Задача исправления политики содержит элементы для:

Например, в следующем формате JSON показана задача исправления политики для определения политики с именем requiredTags частью назначения resourceShouldBeCompliantInit инициативы со всеми параметрами по умолчанию.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Инструкции по активации задачи исправления см. в руководстве по исправлению несоответствующих ресурсов

Примечание

После запуска задачи исправления изменить эти параметры невозможно.

Отображаемое имя и описание

Используйте displayName и description для определения задачи исправления политики и предоставления контекста для ее использования. Максимальная длина displayName составляет 128 символов, а description — 512 символов.

Идентификатор назначения политики

В этом поле должен быть указан полный путь к назначению политики или к назначению инициативы. policyAssignmentId является строкой, а не массивом. Это свойство определяет назначение родительской иерархии ресурсов или отдельного ресурса для исправления.

Идентификатор определения политики

policyAssignmentId Если используется для назначения инициативы, свойство policyDefinitionReferenceId должно использоваться для указания определения политики в инициативе, которую необходимо исправить. Поскольку исправление может быть исправлено только в область одного определения, это свойство является строкой, а не массивом. Значение должно соответствовать значению в определении инициативы в policyDefinitions.policyDefinitionReferenceId поле , а не глобальному идентификатору для определения Idполитики .

Количество ресурсов и параллельные развертывания

Используйте число ресурсов , чтобы определить, сколько ресурсов, не соответствующих требованиям, необходимо исправить в данной задаче исправления. Значение по умолчанию — 500, а максимальное число — 50 000. Параллельные развертывания определяют, сколько из этих ресурсов необходимо исправить одновременно. Допустимый диапазон — от 1 до 30, значение по умолчанию — 10.

Примечание

Параллельные развертывания — это количество развертываний в рамках одной задачи исправления, не более 30. Для одного определения политики или ссылки на политику в рамках инициативы может выполняться не более 100 задач по исправлению.

Порог сбоя

Необязательное свойство, используемое для указания того, должна ли задача исправления завершаться ошибкой, если процент сбоев превышает заданное пороговое значение. Порог сбоя представлен в виде процентного числа от 0 до 100. По умолчанию порог сбоя составляет 100 %, что означает, что задача исправления будет продолжать исправлять другие ресурсы, даже если ресурсы не удается исправить.

Фильтры исправления

Необязательное свойство уточняет, какие ресурсы применимы к задаче исправления. Допустимый фильтр — расположение ресурса. Если не указано, ресурсы из любого региона можно исправить.

Режим обнаружения ресурсов

Это свойство определяет, как обнаруживать ресурсы, которые могут быть исправлены. Чтобы ресурс был допустимым, он должен быть несоответствующим. По умолчанию для свойства задано значение ExistingNonCompliant. Ему также может быть присвоено значение ReEvaluateCompliance, которое активирует новую проверку соответствия для этого назначения и исправит все ресурсы, которые считаются несоответствующими.

Сводка по состоянию подготовки и развертыванию

После создания задачи исправления заполняются свойства состояния подготовки и сводки развертывания . Состояние подготовки указывает состояние задачи исправления. Допустимые значения: Running, Canceled, Cancelling, Failed, Completeили Succeeded. Сводка по развертыванию — это свойство массива, указывающее количество развертываний, а также количество успешных и неудачных развертываний.

Пример успешно завершенной задачи исправления:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Дальнейшие действия