次の方法で共有


az policy state

ポリシーコンプライアンスの状態を管理します。

コマンド

名前 説明 状態
az policy state list

ポリシーコンプライアンスの状態を一覧表示します。

コア GA
az policy state summarize

ポリシーコンプライアンスの状態をまとめます。

コア GA
az policy state trigger-scan

スコープのポリシー コンプライアンス評価をトリガーします。

コア GA

az policy state list

ポリシーコンプライアンスの状態を一覧表示します。

az policy state list [--all]
                     [--apply]
                     [--expand]
                     [--filter]
                     [--from]
                     [--management-group]
                     [--namespace]
                     [--order-by]
                     [--parent]
                     [--policy-assignment]
                     [--policy-definition]
                     [--policy-set-definition]
                     [--resource]
                     [--resource-group]
                     [--resource-type]
                     [--select]
                     [--to]
                     [--top]

現在のサブスクリプション スコープで最新のポリシー状態を取得します。

az policy state list

現在のサブスクリプション スコープですべてのポリシー状態を取得します。

az policy state list --all

管理グループスコープで最新のポリシー状態を取得します。

az policy state list -m "myMg"

現在のサブスクリプションのリソース グループ スコープで最新のポリシー状態を取得します。

az policy state list -g "myRg"

リソース ID を使用して、リソースの最新のポリシー状態を取得します。

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup /providers/Microsoft.EventHub/namespaces/myns1/eventhubs/eh1/consumergroups/cg1"

リソース名を使用して、リソースの最新のポリシー状態を取得します。

az policy state list --resource "myKeyVault" --namespace "Microsoft.KeyVault" --resource-type "vaults" -g "myresourcegroup"

リソース名を使用して、入れ子になったリソースの最新のポリシー状態を取得します。

az policy state list --resource "myRule1" --namespace "Microsoft.Network" --resource-type "securityRules" --parent "networkSecurityGroups/mysecuritygroup1" -g "myresourcegroup"

現在のサブスクリプションのポリシー セット定義の最新のポリシー状態を取得します。

az policy state list -s "fff58873-fff8-fff5-fffc-fffbe7c9d697"

現在のサブスクリプションのポリシー定義の最新のポリシー状態を取得します。

az policy state list -d "fff69973-fff8-fff5-fffc-fffbe7c9d698"

現在のサブスクリプションのポリシー割り当ての最新のポリシー状態を取得します。

az policy state list -a "ddd8ef92e3714a5ea3d208c1"

現在のサブスクリプションの指定されたリソース グループ内のポリシー割り当ての最新のポリシー状態を取得します。

az policy state list -g "myRg" -a "ddd8ef92e3714a5ea3d208c1"

現在のサブスクリプションで上位 5 つの最新のポリシー状態を取得し、プロパティのサブセットを選択し、順序をカスタマイズします。

az policy state list --top 5 --order-by "timestamp desc, policyAssignmentName asc" --select "timestamp, resourceId, policyAssignmentId, policySetDefinitionId, policyDefinitionId"

カスタム時間間隔中に現在のサブスクリプションの最新のポリシー状態を取得します。

az policy state list --from "2018-03-08T00:00:00Z" --to "2018-03-15T00:00:00Z"

一部のプロパティ値に基づいて結果をフィルター処理する現在のサブスクリプションの最新のポリシー状態を取得します。

az policy state list --filter "(policyDefinitionAction eq 'deny' or policyDefinitionAction eq 'audit') and resourceLocation ne 'eastus'"

現在のサブスクリプションの最新のポリシー状態の数を取得します。

az policy state list --apply "aggregate($count as numberOfRecords)"

一部のプロパティに基づいて結果を集計する現在のサブスクリプションの最新のポリシー状態を取得します。

az policy state list --apply "groupby((policyAssignmentId, policySetDefinitionId, policyDefinitionReferenceId, policyDefinitionId), aggregate($count as numStates))"

一部のプロパティに基づいて、現在のサブスクリプショングループの結果で最新のポリシー状態を取得します。

az policy state list --apply "groupby((policyAssignmentName, resourceId))"

複数のグループ化を指定する一部のプロパティに基づいて、結果を集計する現在のサブスクリプションの最新のポリシー状態を取得します。

az policy state list --apply "groupby((policyAssignmentId, policySetDefinitionId, policyDefinitionReferenceId, policyDefinitionId, resourceId))/groupby((policyAssignmentId, policySetDefinitionId, policyDefinitionReferenceId, policyDefinitionId), aggregate($count as numNonCompliantResources))"

ポリシー評価の詳細を含むリソースの最新のポリシー状態を取得します。

az policy state list --resource "myKeyVault" --namespace "Microsoft.KeyVault" --resource-type "vaults" -g "myresourcegroup" --expand PolicyEvaluationDetails

リソース (コンテナーなど) の最新のコンポーネント ポリシー状態を取得し、リソース プロバイダー モードのポリシー定義を参照するポリシー割り当てを取得する

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault" --filter "policyAssignmentId eq '/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/providers/Microsoft.Authorization/policyAssignments/myPa'" --expand "Components($filter=ComplianceState eq 'NonCompliant' or ComplianceState eq 'Compliant')"

リソース (コンテナーなど) の最新のコンポーネント ポリシー状態を取得し、リソース プロバイダー モードのポリシー定義を含むイニシアティブを参照するポリシー割り当てを取得する

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault" --filter "policyAssignmentId eq '/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/providers/Microsoft.Authorization/policyAssignments/myPa' and policyDefinitionReferenceId eq 'myResourceProviderModeDefinitionReferenceId'" --expand "Components($filter=ComplianceState eq 'NonCompliant' or ComplianceState eq 'Compliant')"

リソース (コンテナーなど) のコンプライアンス状態と、リソース プロバイダー モードポリシー定義を参照するポリシー割り当てによって、最新のコンポーネント数を取得する

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault" --filter "policyAssignmentId eq '/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/providers/Microsoft.Authorization/policyAssignments/myPa'" --expand "Components($filter=ComplianceState eq 'NonCompliant' or ComplianceState eq 'Compliant' or ComplianceState eq 'Conflict';$apply=groupby((complianceState),aggregate($count as count)))"

省略可能のパラメーター

--all

指定された時間間隔内で、最新の状態ではなく、すべてのポリシー状態を取得します。

規定値: False
--apply

OData 表記を使用して集計に式を適用します。

--expand

OData 表記を使用して式を展開します。

--filter

OData 表記を使用して式をフィルター処理します。

--from

クエリする間隔の開始時刻を指定する ISO 8601 形式のタイムスタンプ。

--management-group -m

管理グループの名前。

--namespace

プロバイダー名前空間 (例: Microsoft.Provider)。

--order-by

OData 表記を使用した式の順序付け。

--parent

親パス (例: resourceTypeA/nameA/resourceTypeB/nameB)。

--policy-assignment -a

ポリシー割り当ての名前。

--policy-definition -d

ポリシー定義の名前。

--policy-set-definition -s

ポリシー セット定義の名前。

--resource

リソース ID またはリソース名。 名前が指定されている場合は、リソース グループとその他の関連するリソース ID 引数を指定してください。

--resource-group -g

リソース グループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--resource-type

リソースの種類 (例: resourceTypeC)。

--select

OData 表記を使用して式を選択します。

--to

クエリする間隔の終了時刻を指定する ISO 8601 形式のタイムスタンプ。

--top

返す最大レコード数。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az policy state summarize

ポリシーコンプライアンスの状態をまとめます。

az policy state summarize [--filter]
                          [--from]
                          [--management-group]
                          [--namespace]
                          [--parent]
                          [--policy-assignment]
                          [--policy-definition]
                          [--policy-set-definition]
                          [--resource]
                          [--resource-group]
                          [--resource-type]
                          [--to]
                          [--top]

現在のサブスクリプション スコープで最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize

管理グループ スコープで最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize -m "myMg"

現在のサブスクリプションのリソース グループ スコープで、準拠していないポリシーの最新の状態の概要を取得します。

az policy state summarize -g "myRg"

リソース ID を使用して、リソースの最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup /providers/Microsoft.EventHub/namespaces/myns1/eventhubs/eh1/consumergroups/cg1"

リソース名を使用して、リソースの最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize --resource "myKeyVault" --namespace "Microsoft.KeyVault" --resource-type "vaults" -g "myresourcegroup"

リソース名を使用して、入れ子になったリソースの最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize --resource "myRule1" --namespace "Microsoft.Network" --resource-type "securityRules" --parent "networkSecurityGroups/mysecuritygroup1" -g "myresourcegroup"

現在のサブスクリプションのポリシー セット定義の最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize -s "fff58873-fff8-fff5-fffc-fffbe7c9d697"

現在のサブスクリプションのポリシー定義の最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize -d "fff69973-fff8-fff5-fffc-fffbe7c9d698"

現在のサブスクリプションでのポリシー割り当ての最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize -a "ddd8ef92e3714a5ea3d208c1"

現在のサブスクリプションの指定されたリソース グループ内のポリシー割り当ての最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize -g "myRg" -a "ddd8ef92e3714a5ea3d208c1"

現在のサブスクリプションで最新の非準拠ポリシー状態の概要を取得し、割り当ての概要を上位 5 に制限します。

az policy state summarize --top 5

カスタム時間間隔の現在のサブスクリプションの最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize --from "2018-03-08T00:00:00Z" --to "2018-03-15T00:00:00Z"

一部のプロパティ値に基づいて結果をフィルター処理する現在のサブスクリプションの最新の非準拠ポリシー状態の概要を取得します。

az policy state summarize --filter "(policyDefinitionAction eq 'deny' or policyDefinitionAction eq 'audit') and resourceLocation ne 'eastus'"

省略可能のパラメーター

--filter

OData 表記を使用して式をフィルター処理します。

--from

クエリする間隔の開始時刻を指定する ISO 8601 形式のタイムスタンプ。

--management-group -m

管理グループの名前。

--namespace

プロバイダー名前空間 (例: Microsoft.Provider)。

--parent

親パス (例: resourceTypeA/nameA/resourceTypeB/nameB)。

--policy-assignment -a

ポリシー割り当ての名前。

--policy-definition -d

ポリシー定義の名前。

--policy-set-definition -s

ポリシー セット定義の名前。

--resource

リソース ID またはリソース名。 名前が指定されている場合は、リソース グループとその他の関連するリソース ID 引数を指定してください。

--resource-group -g

リソース グループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

--resource-type

リソースの種類 (例: resourceTypeC)。

--to

クエリする間隔の終了時刻を指定する ISO 8601 形式のタイムスタンプ。

--top

返す最大レコード数。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。

az policy state trigger-scan

スコープのポリシー コンプライアンス評価をトリガーします。

az policy state trigger-scan [--no-wait]
                             [--resource-group]

現在のサブスクリプション スコープでポリシー コンプライアンス評価をトリガーします。

az policy state trigger-scan

リソース グループのポリシー コンプライアンス評価をトリガーします。

az policy state trigger-scan -g "myRg"

リソース グループのポリシー コンプライアンス評価をトリガーし、完了するまで待つ必要はありません。

az policy state trigger-scan -g "myRg" --no-wait

省略可能のパラメーター

--no-wait

実行時間の長い操作の終了を待機しません。

規定値: False
--resource-group -g

リソース グループの名前。 az configure --defaults group=<name> を使用して、既定のグループを構成できます。

グローバル パラメーター
--debug

すべてのデバッグ ログを表示するようにログの詳細レベルを上げます。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告は抑制します。

--output -o

出力形式。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ をご覧ください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_ID を使用して、既定のサブスクリプションを構成できます。

--verbose

ログの詳細レベルを上げます。 詳細なデバッグ ログを表示するには --debug を使います。