Struktura úloh nápravy ve službě Azure Policy

Funkce úlohy nápravy azure Policy se používá k přenesení prostředků do dodržování předpisů vytvořených z definice a přiřazení. Prostředky, které nedodržují předpisy pro přiřazení definice modify nebo deployIfNotExists , je možné převést do souladu s předpisy pomocí úlohy nápravy. Úloha nápravy nasadí deployIfNotExists šablonu nebo modify operace do vybraných nevyhovujících prostředků pomocí identity zadané v přiřazení. Další informace najdete v tématu Struktura přiřazení zásad, abyste pochopili, jak je identita definována, a opravte kurz nevyhovujících prostředků ke konfiguraci identity.

Úlohy nápravy opravují stávající prostředky, které nedodržují předpisy. Automaticky se opraví prostředky, které jsou nově vytvořené nebo aktualizované, které se vztahují k deployIfNotExists přiřazení definice nebo modify přiřazení definice.

K vytvoření úlohy nápravy zásad použijete JavaScript Object Notation (JSON). Úloha nápravy zásad obsahuje elementy pro:

• přiřazení zásad
• definice zásad v rámci iniciativy
• počet prostředků a paralelní nasazení
• prahová hodnota selhání
• filtry nápravy
• Režim zjišťování prostředků
• Souhrn stavu zřizování a nasazení

Například následující JSON ukazuje úlohu nápravy zásad pro definici zásady s názvem requiredTags část přiřazení iniciativy s názvem resourceShouldBeCompliantInit se všemi výchozími nastaveními.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Postup aktivace úlohy nápravy při nápravě průvodce nedodržováním prostředků Tato nastavení nelze po zahájení úlohy nápravy změnit.

ID přiřazení zásad

Toto pole musí obsahovat název úplné cesty k přiřazení zásad nebo iniciativy. policyAssignmentId je řetězec, nikoli pole. Tato vlastnost definuje, které přiřazení nadřazené hierarchie prostředků nebo jednotlivého prostředku k nápravě.

ID definice zásady

Pokud se jedná policyAssignmentId o přiřazení iniciativy, policyDefinitionReferenceId musí být vlastnost použita k určení definice zásady v iniciativě, kterou se mají prostředky předmětu napravit. Jako náprava lze napravit pouze v oboru jedné definice, tato vlastnost je řetězec , nikoli pole. Hodnota musí odpovídat hodnotě v definici iniciativy v policyDefinitions.policyDefinitionReferenceId poli místo globálního identifikátoru definice Idzásady .

Počet prostředků a paralelní nasazení

Umožňuje resourceCount určit, kolik prostředků nedodržuje předpisy k nápravě v dané úloze nápravy. Výchozí hodnota je 500, přičemž maximální počet je 50 000. parallelDeployments určuje, kolik z těchto prostředků se má napravit současně. Povolený rozsah je od 1 do 30 s výchozí hodnotou 10.

Paralelní nasazení jsou počet nasazení v rámci úlohy nápravy v jednotném čísle s maximálně 30. V rámci iniciativy může běžet maximálně 100 úloh nápravy pro jednu definici zásad nebo odkaz na zásady.

Prahová hodnota selhání

Volitelná vlastnost použitá k určení, zda má úloha nápravy selhat, pokud procento selhání překročí danou prahovou hodnotu. Představuje failureThreshold se jako procentuální číslo od 0 do 100. Ve výchozím nastavení je prahová hodnota selhání 100 %, což znamená, že úloha nápravy pokračuje v nápravě jiných prostředků, i když se prostředky nepodaří napravit.

Filtry nápravy

Volitelná vlastnost upřesňuje, které prostředky se vztahují na úlohu nápravy. Povolený filtr je umístění prostředku. Pokud není zadáno, je možné napravit prostředky z jakékoli oblasti.

Režim zjišťování prostředků

Tato vlastnost se rozhodne, jak zjistit prostředky, které mají nárok na nápravu. Aby byl prostředek způsobilý, musí být nevyhovující. Ve výchozím nastavení je tato vlastnost nastavena na ExistingNonComplianthodnotu . Může být také nastavena na ReEvaluateCompliancehodnotu , která aktivuje novou kontrolu dodržování předpisů pro toto přiřazení a opraví všechny prostředky, které nejsou kompatibilní.

Souhrn stavu zřizování a nasazení

Po vytvoření ProvisioningState úlohy nápravy a DeploymentSummary naplnění vlastností Označuje ProvisioningState stav úlohy nápravy. Povolit hodnoty jsou Running, , Canceled, FailedCancelling, Complete, nebo Succeeded. Jedná se DeploymentSummary o vlastnost pole označující počet nasazení spolu s počtem úspěšných a neúspěšných nasazení.

Ukázka úlohy nápravy, která byla úspěšně dokončena:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Další kroky

• Zjistěte, jak určit příčiny nedodržení předpisů.
• Zjistěte, jak získat data dodržování předpisů.
• Zjistěte, jak napravit nevyhovující prostředky.
• Zjistěte, jak reagovat na události změny stavu služby Azure Policy.
• Seznamte se se strukturou definic zásad.
• Přečtěte si o struktuře přiřazení zásad.