Dela via

Aktivitetsstruktur för Azure Policy-reparation

  • Artikel

Funktionen azure policy remediation används för att göra resurser kompatibla som upprättats från en definition och tilldelning. Resurser som inte är kompatibla med en ändrings - eller deployIfNotExists-definitionstilldelning kan implementeras i kompatibilitet med hjälp av en reparationsuppgift. En reparationsuppgift distribuerar mallen deployIfNotExists eller modify åtgärderna till de valda icke-kompatibla resurserna med hjälp av den identitet som anges i tilldelningen. Mer information finns i principtilldelningsstrukturen för att förstå hur identiteten definieras och åtgärda icke-kompatibla resurser för att konfigurera identiteten.

Reparationsåtgärder åtgärdar befintliga resurser som inte är kompatibla. Resurser som nyligen har skapats eller uppdaterats och som gäller för en deployIfNotExists eller modify flera definitionstilldelningar åtgärdas automatiskt.

Kommentar

Azure Policy-tjänsten tar bort åtgärdsaktivitetsresurser 60 dagar efter den senaste ändringen.

Du använder JavaScript Object Notation (JSON) för att skapa en principreparation. Principreparationsuppgiften innehåller element för:

Följande JSON visar till exempel en principreparationsuppgift för principdefinition med namnet requiredTags en del av en initiativtilldelning med namnet resourceShouldBeCompliantInit med alla standardinställningar.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Steg för hur du utlöser en reparationsaktivitet i hur du åtgärdar icke-kompatibla resurser. De här inställningarna kan inte ändras när reparationsaktiviteten har påbörjats.

Principtilldelnings-ID

Det här fältet måste vara det fullständiga sökvägsnamnet för antingen en principtilldelning eller en initiativtilldelning. policyAssignmentId är en sträng och inte en matris. Den här egenskapen definierar vilken tilldelning den överordnade resurshierarkin eller den enskilda resursen som ska åtgärdas.

Principdefinitions-ID

policyAssignmentId Om är för en initiativtilldelning policyDefinitionReferenceId måste egenskapen användas för att ange vilken principdefinition i initiativet ämnesresurserna ska åtgärdas. Eftersom en reparation endast kan åtgärdas i en definitions omfattning är den här egenskapen en sträng och inte en matris. Värdet måste matcha värdet i initiativdefinitionen policyDefinitions.policyDefinitionReferenceId i fältet i stället för den globala identifieraren för principdefinitionen Id.

Antal resurser och parallella distributioner

Använd resourceCount för att fastställa hur många icke-kompatibla resurser som ska åtgärdas i en viss reparationsuppgift. Standardvärdet är 500, där det maximala antalet är 50 000. parallelDeployments avgör hur många av dessa resurser som ska åtgärdas samtidigt. Det tillåtna intervallet är mellan 1 och 30 och standardvärdet är 10.

Parallella distributioner är antalet distributioner inom en enskild reparationsaktivitet med högst 30. Det kan finnas högst 100 reparationsaktiviteter som körs parallellt för en enda principdefinition eller principreferens inom ett initiativ.

Tröskelvärde för fel

En valfri egenskap som används för att ange om reparationsaktiviteten ska misslyckas om procentandelen fel överskrider det angivna tröskelvärdet. failureThreshold representeras som ett procenttal från 0 till 100. Som standard är tröskelvärdet för fel 100 %, vilket innebär att reparationsaktiviteten fortsätter att åtgärda andra resurser även om resurserna inte kan åtgärdas.

Reparationsfilter

En valfri egenskap förfinar vilka resurser som är tillämpliga för reparationsaktiviteten. Det tillåtna filtret är resursplats. Om inget annat anges kan resurser från valfri region åtgärdas.

Resursidentifieringsläge

Den här egenskapen bestämmer hur du identifierar resurser som är berättigade till reparation. För att en resurs ska vara berättigad måste den vara inkompatibel. Som standard är den här egenskapen inställd på ExistingNonCompliant. Det kan också anges till ReEvaluateCompliance, vilket utlöser en ny efterlevnadssökning för tilldelningen och åtgärdar eventuella resurser som inte är kompatibla.

Etableringstillstånd och distributionssammanfattning

När en reparationsuppgift har skapats ProvisioningState och DeploymentSummary egenskaperna har fyllts i. ProvisioningState Anger status för reparationsaktiviteten. Tillåt värden är Running, Canceled, Cancelling, Failed, Completeeller Succeeded. DeploymentSummary är en matrisegenskap som anger antalet distributioner tillsammans med antalet lyckade och misslyckade distributioner.

Exempel på reparationsaktivitet som har slutförts:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Nästa steg