Udostępnij za pośrednictwem

Struktura zadań korygowania usługi Azure Policy

  • Artykuł

Funkcja zadania korygowania usługi Azure Policy służy do zapewnienia zgodności zasobów ustanowionych z definicji i przypisania. Zasoby, które nie są zgodne z przypisaniem definicji modify lub deployIfNotExists , mogą zostać przeniesione do zgodności przy użyciu zadania korygowania. Zadanie korygowania wdraża szablon lub modify operacje deployIfNotExists w wybranych niezgodnych zasobach przy użyciu tożsamości określonej w przypisaniu. Aby uzyskać więcej informacji, zobacz struktura przypisywania zasad, aby zrozumieć sposób definiowania tożsamości i korygowania niezgodnych zasobów w celu skonfigurowania tożsamości.

Zadania korygowania korygujące korygujące istniejące zasoby, które nie są zgodne. Zasoby nowo utworzone lub zaktualizowane, które mają zastosowanie do deployIfNotExists przypisania definicji lub modify , są automatycznie korygowane.

Uwaga

Usługa Azure Policy usuwa zasoby zadań korygowania 60 dni po ich ostatniej modyfikacji.

Funkcja JavaScript Object Notation (JSON) służy do tworzenia zadania korygowania zasad. Zadanie korygowania zasad zawiera elementy dla:

Na przykład poniższy kod JSON przedstawia zadanie korygowania zasad dla definicji zasad o nazwie część przypisania inicjatywy o nazwie requiredTags resourceShouldBeCompliantInit ze wszystkimi ustawieniami domyślnymi.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Instrukcje dotyczące wyzwalania zadania korygowania w celu skorygowania niezgodnych zasobów. Tych ustawień nie można zmienić po rozpoczęciu zadania korygowania.

Identyfikator przypisania zasad

To pole musi zawierać nazwę pełnej ścieżki przypisania zasad lub przypisania inicjatywy. policyAssignmentId jest ciągiem, a nie tablicą. Ta właściwość definiuje przypisanie hierarchii zasobów nadrzędnych lub pojedynczych zasobów do skorygowania.

Identyfikator definicji zasad

Jeśli element policyAssignmentId jest przeznaczony do przypisania inicjatywy, należy użyć właściwości , policyDefinitionReferenceId aby określić definicję zasad w inicjatywie, które zasoby podmiotu mają zostać skorygowane. Ponieważ korygowanie może korygować tylko w zakresie jednej definicji, ta właściwość jest ciągiem, a nie tablicą. Wartość musi być zgodna z wartością w definicji inicjatywy w policyDefinitions.policyDefinitionReferenceId polu zamiast identyfikatora globalnego definicji Idzasad .

Liczba zasobów i wdrożenia równoległe

Służy resourceCount do określania, ile niezgodnych zasobów ma skorygować w danym zadaniu korygowania. Wartość domyślna to 500, a maksymalna liczba to 50 000. parallelDeployments określa liczbę tych zasobów do skorygowania w tym samym czasie. Dozwolony zakres wynosi od 1 do 30, a wartość domyślna to 10.

Wdrożenia równoległe to liczba wdrożeń w ramach pojedynczego zadania korygowania z maksymalnie 30. W ramach inicjatywy może być uruchomionych równolegle maksymalnie 100 zadań korygowania dla pojedynczej definicji zasad lub odwołania do zasad.

Próg niepowodzenia

Opcjonalna właściwość służąca do określenia, czy zadanie korygowania powinno zakończyć się niepowodzeniem, jeśli wartość procentowa niepowodzeń przekroczy określony próg. Element failureThreshold jest reprezentowany jako liczba procentowa z zakresu od 0 do 100. Domyślnie próg niepowodzenia wynosi 100%, co oznacza, że zadanie korygowania nadal koryguje inne zasoby, nawet jeśli nie można skorygować zasobów.

Filtry korygowania

Opcjonalna właściwość uściśli, jakie zasoby mają zastosowanie do zadania korygowania. Dozwolony filtr to lokalizacja zasobu. O ile nie określono, zasoby z dowolnego regionu można skorygować.

Tryb odnajdywania zasobów

Ta właściwość decyduje o tym, jak odnajdywać zasoby, które kwalifikują się do korygowania. Aby zasób mógł kwalifikować się, musi być niezgodny. Domyślnie wartość tej właściwości to ExistingNonCompliant. Można go również ustawić na ReEvaluateCompliancewartość , która wyzwala nowe skanowanie pod kątem zgodności dla tego przypisania i koryguje wszystkie znalezione niezgodne zasoby.

Podsumowanie stanu i wdrożenia aprowizacji

Po utworzeniu ProvisioningState zadania korygowania i DeploymentSummary wypełnieniu właściwości. Element ProvisioningState wskazuje stan zadania korygowania. Zezwalaj na wartości to Running, , Canceled, CancellingFailed, , Completelub Succeeded. Jest DeploymentSummary to właściwość tablicy wskazująca liczbę wdrożeń wraz z liczbą pomyślnych i zakończonych niepowodzeniem wdrożeń.

Przykład zadania korygowania zakończonego pomyślnie:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Następne kroki