Partilhar via


Estrutura de tarefas de correção da Política do Azure

O recurso de tarefa de correção da Política do Azure é usado para colocar os recursos em conformidade estabelecidos a partir de uma definição e atribuição. Os recursos que não são compatíveis com uma atribuição de definição modify ou deployIfNotExists podem ser colocados em conformidade usando uma tarefa de correção. Uma tarefa de correção implanta o deployIfNotExists modelo ou as modify operações nos recursos não compatíveis selecionados usando a identidade especificada na atribuição. Para obter mais informações, consulte estrutura de atribuição de política para entender como a identidade é definida e remediar o tutorial de recursos não compatíveis para configurar a identidade.

As tarefas de correção corrigem os recursos existentes que não estão em conformidade. Os recursos recém-criados ou atualizados que são aplicáveis a uma deployIfNotExists atribuição ou modify definição são corrigidos automaticamente.

Nota

O serviço de Política do Azure exclui recursos de tarefas de correção 60 dias após a última modificação.

Você usa JavaScript Object Notation (JSON) para criar uma tarefa de correção de política. A tarefa de correção de política contém elementos para:

Por exemplo, o JSON a seguir mostra uma tarefa de correção de política para definição de política nomeada requiredTags uma parte de uma atribuição de iniciativa nomeada resourceShouldBeCompliantInit com todas as configurações padrão.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Guia de etapas sobre como acionar uma tarefa de correção no guia de como corrigir recursos não compatíveis. Essas configurações não podem ser alteradas após o início da tarefa de correção.

ID de atribuição de política

Este campo tem de ser o nome do caminho completo de uma atribuição de política ou de uma atribuição de iniciativa. policyAssignmentId é uma cadeia de caracteres e não uma matriz. Essa propriedade define qual atribuição a hierarquia de recursos pai ou o recurso individual deve ser corrigido.

ID de definição de política

Se for para policyAssignmentId uma atribuição de iniciativa, a policyDefinitionReferenceId propriedade deve ser usada para especificar qual definição de política na iniciativa os recursos do assunto devem ser corrigidos. Como uma correção só pode ser corrigida em um escopo de uma definição, essa propriedade é uma cadeia de caracteres e não uma matriz. O valor deve corresponder ao valor na definição da iniciativa no policyDefinitions.policyDefinitionReferenceId campo em vez do identificador global para a definição Idda política.

Contagem de recursos e implantações paralelas

Use resourceCount para determinar quantos recursos não compatíveis devem ser corrigidos em uma determinada tarefa de correção. O valor padrão é 500, com o número máximo sendo 50.000. parallelDeployments determina quantos desses recursos devem ser corrigidos ao mesmo tempo. O intervalo permitido é entre 1 e 30, com o valor padrão sendo 10.

Implantações paralelas são o número de implantações dentro de uma tarefa de correção singular com um máximo de 30. Pode haver um máximo de 100 tarefas de correção em paralelo para uma única definição de política ou referência de política no âmbito de uma iniciativa.

Limiar de falha

Uma propriedade opcional usada para especificar se a tarefa de correção deve falhar se a porcentagem de falhas exceder o limite determinado. O failureThreshold é representado como um número percentual de 0 a 100. Por padrão, o limite de falha é de 100%, o que significa que a tarefa de correção continua a corrigir outros recursos, mesmo que os recursos não sejam corrigidos.

Filtros de remediação

Uma propriedade opcional refina quais recursos são aplicáveis à tarefa de correção. O filtro permitido é o local do recurso. A menos que especificado, os recursos de qualquer região podem ser remediados.

Modo de descoberta de recursos

Esta propriedade decide como descobrir recursos que são elegíveis para correção. Para que um recurso seja elegível, tem de não estar em conformidade. Por padrão, essa propriedade é definida como ExistingNonCompliant. Também pode ser definido como ReEvaluateCompliance, o que aciona uma nova verificação de conformidade para essa atribuição e corrige quaisquer recursos considerados não compatíveis.

Estado de provisionamento e resumo da implantação

Depois que uma tarefa de correção é criada ProvisioningState e DeploymentSummary as propriedades são preenchidas. O ProvisioningState indica o status da tarefa de correção. Os valores permitidos são Running, , , FailedCancelling, Complete, ou SucceededCanceled. A DeploymentSummary é uma propriedade de matriz que indica o número de implantações, juntamente com o número de implantações bem-sucedidas e com falha.

Exemplo de tarefa de correção concluída com êxito:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Próximos passos