Estrutura de tarefas de correção da Política do Azure
O recurso de tarefa de correção da Política do Azure é usado para colocar os recursos em conformidade estabelecidos a partir de uma definição e atribuição. Os recursos que não são compatíveis com uma atribuição de definição modify ou deployIfNotExists podem ser colocados em conformidade usando uma tarefa de correção. Uma tarefa de correção implanta o deployIfNotExists
modelo ou as modify
operações nos recursos não compatíveis selecionados usando a identidade especificada na atribuição. Para obter mais informações, consulte estrutura de atribuição de política para entender como a identidade é definida e remediar o tutorial de recursos não compatíveis para configurar a identidade.
As tarefas de correção corrigem os recursos existentes que não estão em conformidade. Os recursos recém-criados ou atualizados que são aplicáveis a uma deployIfNotExists
atribuição ou modify
definição são corrigidos automaticamente.
Nota
O serviço de Política do Azure exclui recursos de tarefas de correção 60 dias após a última modificação.
Você usa JavaScript Object Notation (JSON) para criar uma tarefa de correção de política. A tarefa de correção de política contém elementos para:
- Atribuição de políticas
- definições de políticas no âmbito de uma iniciativa
- contagem de recursos e implantações paralelas
- Limiar de falha
- filtros de remediação
- Modo de descoberta de recursos
- Estado de provisionamento e resumo da implantação
Por exemplo, o JSON a seguir mostra uma tarefa de correção de política para definição de política nomeada requiredTags
uma parte de uma atribuição de iniciativa nomeada resourceShouldBeCompliantInit
com todas as configurações padrão.
{
"id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
"apiVersion": "2021-10-01",
"name": "remediateNotCompliant",
"type": "Microsoft.PolicyInsights/remediations",
"properties": {
"policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
"policyDefinitionReferenceId": "requiredTags",
"resourceCount": 42,
"parallelDeployments": 6,
"failureThreshold": {
"percentage": 0.1
}
}
}
Guia de etapas sobre como acionar uma tarefa de correção no guia de como corrigir recursos não compatíveis. Essas configurações não podem ser alteradas após o início da tarefa de correção.
ID de atribuição de política
Este campo tem de ser o nome do caminho completo de uma atribuição de política ou de uma atribuição de iniciativa. policyAssignmentId
é uma cadeia de caracteres e não uma matriz. Essa propriedade define qual atribuição a hierarquia de recursos pai ou o recurso individual deve ser corrigido.
ID de definição de política
Se for para policyAssignmentId
uma atribuição de iniciativa, a policyDefinitionReferenceId
propriedade deve ser usada para especificar qual definição de política na iniciativa os recursos do assunto devem ser corrigidos. Como uma correção só pode ser corrigida em um escopo de uma definição, essa propriedade é uma cadeia de caracteres e não uma matriz. O valor deve corresponder ao valor na definição da iniciativa no policyDefinitions.policyDefinitionReferenceId
campo em vez do identificador global para a definição Id
da política.
Contagem de recursos e implantações paralelas
Use resourceCount
para determinar quantos recursos não compatíveis devem ser corrigidos em uma determinada tarefa de correção. O valor padrão é 500, com o número máximo sendo 50.000. parallelDeployments
determina quantos desses recursos devem ser corrigidos ao mesmo tempo. O intervalo permitido é entre 1 e 30, com o valor padrão sendo 10.
Implantações paralelas são o número de implantações dentro de uma tarefa de correção singular com um máximo de 30. Pode haver um máximo de 100 tarefas de correção em paralelo para uma única definição de política ou referência de política no âmbito de uma iniciativa.
Limiar de falha
Uma propriedade opcional usada para especificar se a tarefa de correção deve falhar se a porcentagem de falhas exceder o limite determinado. O failureThreshold
é representado como um número percentual de 0 a 100. Por padrão, o limite de falha é de 100%, o que significa que a tarefa de correção continua a corrigir outros recursos, mesmo que os recursos não sejam corrigidos.
Filtros de remediação
Uma propriedade opcional refina quais recursos são aplicáveis à tarefa de correção. O filtro permitido é o local do recurso. A menos que especificado, os recursos de qualquer região podem ser remediados.
Modo de descoberta de recursos
Esta propriedade decide como descobrir recursos que são elegíveis para correção. Para que um recurso seja elegível, tem de não estar em conformidade. Por padrão, essa propriedade é definida como ExistingNonCompliant
. Também pode ser definido como ReEvaluateCompliance
, o que aciona uma nova verificação de conformidade para essa atribuição e corrige quaisquer recursos considerados não compatíveis.
Estado de provisionamento e resumo da implantação
Depois que uma tarefa de correção é criada ProvisioningState
e DeploymentSummary
as propriedades são preenchidas. O ProvisioningState
indica o status da tarefa de correção. Os valores permitidos são Running
, , , Failed
Cancelling
, Complete
, ou Succeeded
Canceled
. A DeploymentSummary
é uma propriedade de matriz que indica o número de implantações, juntamente com o número de implantações bem-sucedidas e com falha.
Exemplo de tarefa de correção concluída com êxito:
{
"id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
"Type": "Microsoft.PolicyInsights/remediations",
"Name": "remediateNotCompliant",
"PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
"policyDefinitionReferenceId": "requiredTags",
"resourceCount": 42,
"parallelDeployments": 6,
"failureThreshold": {
"percentage": 0.1
},
"ProvisioningState": "Succeeded",
"DeploymentSummary": {
"TotalDeployments": 42,
"SuccessfulDeployments": 42,
"FailedDeployments": 0
},
}
Próximos passos
- Entenda como determinar as causas da não conformidade.
- Saiba como obter dados de conformidade.
- Saiba como corrigir recursos não compatíveis.
- Entenda como reagir a eventos de alteração de estado da Política do Azure.
- Saiba mais sobre a estrutura de definição de políticas.
- Saiba mais sobre a estrutura de atribuição de políticas.