Поделиться через

структура задачи исправления Политика Azure

  • Статья

Функция задачи исправления Политика Azure используется для обеспечения соответствия ресурсам, установленным в определении и назначении. Ресурсы, которые не соответствуют назначению определения изменения или развертыванияIfNotExists , могут быть переданы в соответствие с помощью задачи исправления. Задача исправления развертывает deployIfNotExists шаблон или modify операции в выбранных несоответствующих ресурсах с помощью удостоверения, указанного в назначении. Дополнительные сведения см . в статье о структуре назначения политик, чтобы понять, как определяется удостоверение и исправлять несоответствующие ресурсы , чтобы настроить удостоверение.

Задачи исправления исправлять существующие ресурсы, которые не соответствуют требованиям. Ресурсы, которые только что созданы или обновлены, применимые к deployIfNotExists назначению определения, modify автоматически исправляются.

Примечание.

Служба Политика Azure удаляет ресурсы задачи исправления через 60 дней после последнего изменения.

Для создания задачи исправления политики используется нотация объектов JavaScript (JSON). Задача исправления политики содержит элементы для следующих элементов:

Например, в следующем формате JSON показана задача исправления политики для определения политики с именем requiredTags resourceShouldBeCompliantInit части назначения инициативы с именами всех параметров по умолчанию.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Инструкции по активации задачи исправления при исправлении руководства по несоответствующим ресурсам. Эти параметры нельзя изменить после начала задачи исправления.

Идентификатор назначения политики

В этом поле должен быть указан полный путь к назначению политики или к назначению инициативы. policyAssignmentId является строкой, а не массивом. Это свойство определяет, какое назначение родительской иерархии ресурсов или отдельный ресурс для исправления.

Идентификатор определения политики

policyAssignmentId Если оно предназначено для назначения инициативы, policyDefinitionReferenceId свойство должно использоваться для указания определения политики в инициативе, которую необходимо исправить. Как исправление может быть исправлено только в области одного определения, это свойство является строкой , а не массивом. Значение должно соответствовать значению в определении инициативы в policyDefinitions.policyDefinitionReferenceId поле вместо глобального идентификатора определения Idполитики.

Количество ресурсов и параллельные развертывания

Используется resourceCount для определения количества несоответствующих ресурсов для исправления в данной задаче исправления. Значение по умолчанию — 500, при этом максимальное число составляет 50 000. parallelDeployments определяет, сколько этих ресурсов необходимо исправить одновременно. Допустимый диапазон составляет от 1 до 30, а значение по умолчанию — 10.

Параллельные развертывания — это количество развертываний в одной задаче исправления с максимальным числом 30. В рамках инициативы может выполняться не более 100 задач по исправлению.

Порог сбоя

Необязательное свойство, используемое для указания того, должна ли задача исправления завершиться ошибкой, если процент сбоев превышает заданное пороговое значение. Число failureThreshold представлено в процентах от 0 до 100. По умолчанию порог сбоя составляет 100 %, что означает, что задача исправления продолжает исправлять другие ресурсы, даже если ресурсы не удается исправить.

Фильтры исправления

Необязательное свойство позволяет уточнить, какие ресурсы применимы к задаче исправления. Допустимый фильтр — расположение ресурсов. Если не указано, ресурсы из любого региона могут быть исправлены.

Режим обнаружения ресурсов

Это свойство решает, как обнаруживать ресурсы, которые имеют право на исправление. Чтобы ресурс был допустимым, он должен быть несоответствующим. По умолчанию для свойства задано значение ExistingNonCompliant. Также можно задать ReEvaluateComplianceзначение , которое активирует новое сканирование соответствия для этого назначения и исправление всех ресурсов, которые находятся несоответствующими.

Сводка по состоянию подготовки и развертыванию

После создания ProvisioningState задачи исправления и DeploymentSummary заполнения свойств. Указывает ProvisioningState состояние задачи исправления. Допустимые значения: Running, Canceled, Cancelling, CompleteFailedили Succeeded. Это DeploymentSummary свойство массива, указывающее количество развертываний вместе с числом успешных и неудачных развертываний.

Пример задачи исправления, которая успешно завершена:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Следующие шаги