你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az policy state

管理策略符合性状态。

命令

名称 说明 类型 Status
az policy state list

列出策略符合性状态。

核心 GA
az policy state summarize

汇总策略符合性状态。

核心 GA
az policy state trigger-scan

触发范围的策略符合性评估。

核心 GA

az policy state list

列出策略符合性状态。

az policy state list [--all]
                     [--apply]
                     [--expand]
                     [--filter]
                     [--from]
                     [--management-group]
                     [--namespace]
                     [--order-by]
                     [--parent]
                     [--policy-assignment]
                     [--policy-definition]
                     [--policy-set-definition]
                     [--resource]
                     [--resource-group]
                     [--resource-type]
                     [--select]
                     [--to]
                     [--top]

示例

获取当前订阅范围内的最新策略状态。

az policy state list

获取当前订阅范围内的所有策略状态。

az policy state list --all

获取管理组范围内的最新策略状态。

az policy state list -m "myMg"

获取当前订阅中资源组范围内的最新策略状态。

az policy state list -g "myRg"

使用资源 ID 获取资源的最新策略状态。

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup /providers/Microsoft.EventHub/namespaces/myns1/eventhubs/eh1/consumergroups/cg1"

使用资源名称获取资源的最新策略状态。

az policy state list --resource "myKeyVault" --namespace "Microsoft.KeyVault" --resource-type "vaults" -g "myresourcegroup"

使用资源名称获取嵌套资源的最新策略状态。

az policy state list --resource "myRule1" --namespace "Microsoft.Network" --resource-type "securityRules" --parent "networkSecurityGroups/mysecuritygroup1" -g "myresourcegroup"

获取当前订阅中策略集定义的最新策略状态。

az policy state list -s "fff58873-fff8-fff5-fffc-fffbe7c9d697"

获取当前订阅中策略定义的最新策略状态。

az policy state list -d "fff69973-fff8-fff5-fffc-fffbe7c9d698"

获取当前订阅中策略分配的最新策略状态。

az policy state list -a "ddd8ef92e3714a5ea3d208c1"

获取当前订阅中指定资源组中策略分配的最新策略状态。

az policy state list -g "myRg" -a "ddd8ef92e3714a5ea3d208c1"

获取当前订阅中的前 5 个最新策略状态,选择一部分属性并自定义排序。

az policy state list --top 5 --order-by "timestamp desc, policyAssignmentName asc" --select "timestamp, resourceId, policyAssignmentId, policySetDefinitionId, policyDefinitionId"

在自定义时间间隔内获取当前订阅中的最新策略状态。

az policy state list --from "2018-03-08T00:00:00Z" --to "2018-03-15T00:00:00Z"

根据某些属性值获取当前订阅筛选结果中的最新策略状态。

az policy state list --filter "(policyDefinitionAction eq 'deny' or policyDefinitionAction eq 'audit') and resourceLocation ne 'eastus'"

获取当前订阅中的最新策略状态数。

az policy state list --apply "aggregate($count as numberOfRecords)"

获取当前订阅中基于某些属性聚合结果的最新策略状态。

az policy state list --apply "groupby((policyAssignmentId, policySetDefinitionId, policyDefinitionReferenceId, policyDefinitionId), aggregate($count as numStates))"

根据某些属性获取当前订阅分组结果中的最新策略状态。

az policy state list --apply "groupby((policyAssignmentName, resourceId))"

根据指定多个分组的某些属性,获取当前订阅中的最新策略状态聚合结果。

az policy state list --apply "groupby((policyAssignmentId, policySetDefinitionId, policyDefinitionReferenceId, policyDefinitionId, resourceId))/groupby((policyAssignmentId, policySetDefinitionId, policyDefinitionReferenceId, policyDefinitionId), aggregate($count as numNonCompliantResources))"

获取资源的最新策略状态,包括策略评估详细信息。

az policy state list --resource "myKeyVault" --namespace "Microsoft.KeyVault" --resource-type "vaults" -g "myresourcegroup" --expand PolicyEvaluationDetails

获取资源的最新组件策略状态(例如保管库)和引用资源提供程序模式策略定义的策略分配

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault" --filter "policyAssignmentId eq '/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/providers/Microsoft.Authorization/policyAssignments/myPa'" --expand "Components($filter=ComplianceState eq 'NonCompliant' or ComplianceState eq 'Compliant')"

获取资源的最新组件策略状态(例如保管库)和策略分配,引用包含资源提供程序模式策略定义的计划

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault" --filter "policyAssignmentId eq '/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/providers/Microsoft.Authorization/policyAssignments/myPa' and policyDefinitionReferenceId eq 'myResourceProviderModeDefinitionReferenceId'" --expand "Components($filter=ComplianceState eq 'NonCompliant' or ComplianceState eq 'Compliant')"

按资源(例如保管库)和引用资源提供程序模式策略定义的策略分配的符合性状态获取最新的组件计数

az policy state list --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault" --filter "policyAssignmentId eq '/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/providers/Microsoft.Authorization/policyAssignments/myPa'" --expand "Components($filter=ComplianceState eq 'NonCompliant' or ComplianceState eq 'Compliant' or ComplianceState eq 'Conflict';$apply=groupby((complianceState),aggregate($count as count)))"

可选参数

--all

在指定的时间间隔内,获取所有策略状态,而不是仅获取最新状态。

默认值: False
--apply

使用 OData 表示法为聚合应用表达式。

--expand

使用 OData 表示法展开表达式。

--filter

使用 OData 表示法筛选表达式。

--from

ISO 8601 格式化时间戳,指定要查询的时间间隔的开始时间。

--management-group -m

管理组的名称。

--namespace

提供程序命名空间(例如:Microsoft.Provider)。

--order-by

使用 OData 表示法对表达式进行排序。

--parent

父路径(例如:resourceTypeA/nameA/resourceTypeB/nameB)。

--policy-assignment -a

策略分配的名称。

--policy-definition -d

策略定义的名称。

--policy-set-definition -s

策略集定义的名称。

--resource

资源 ID 或资源名称。 如果指定了名称,请提供资源组和其他相关的资源 ID 参数。

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

--resource-type

资源类型(例如:resourceTypeC)。

--select

使用 OData 表示法选择表达式。

--to

ISO 8601 格式的时间戳,用于指定要查询的时间间隔的结束时间。

--top

要返回的最大记录数。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az policy state summarize

汇总策略符合性状态。

az policy state summarize [--filter]
                          [--from]
                          [--management-group]
                          [--namespace]
                          [--parent]
                          [--policy-assignment]
                          [--policy-definition]
                          [--policy-set-definition]
                          [--resource]
                          [--resource-group]
                          [--resource-type]
                          [--to]
                          [--top]

示例

获取当前订阅范围内的最新不合规策略状态摘要。

az policy state summarize

获取管理组范围内的最新不合规策略状态摘要。

az policy state summarize -m "myMg"

获取当前订阅中资源组范围内的最新不合规策略状态摘要。

az policy state summarize -g "myRg"

使用资源 ID 获取资源的最新不合规策略状态摘要。

az policy state summarize --resource "/subscriptions/fff10b27-fff3-fff5-fff8-fffbe01e86a5/resourceGroups/myResourceGroup /providers/Microsoft.EventHub/namespaces/myns1/eventhubs/eh1/consumergroups/cg1"

使用资源名称获取资源的最新不合规策略状态摘要。

az policy state summarize --resource "myKeyVault" --namespace "Microsoft.KeyVault" --resource-type "vaults" -g "myresourcegroup"

使用资源名称获取嵌套资源的最新不合规策略状态摘要。

az policy state summarize --resource "myRule1" --namespace "Microsoft.Network" --resource-type "securityRules" --parent "networkSecurityGroups/mysecuritygroup1" -g "myresourcegroup"

获取当前订阅中策略集定义的最新不合规策略状态摘要。

az policy state summarize -s "fff58873-fff8-fff5-fffc-fffbe7c9d697"

获取当前订阅中策略定义的最新不合规策略状态摘要。

az policy state summarize -d "fff69973-fff8-fff5-fffc-fffbe7c9d698"

获取当前订阅中策略分配的最新不合规策略状态摘要。

az policy state summarize -a "ddd8ef92e3714a5ea3d208c1"

获取当前订阅中指定资源组中策略分配的最新不合规策略状态摘要。

az policy state summarize -g "myRg" -a "ddd8ef92e3714a5ea3d208c1"

获取当前订阅中最新的不合规策略状态摘要,将分配摘要限制为前 5 个。

az policy state summarize --top 5

获取当前订阅中针对自定义时间间隔的最新不合规策略状态摘要。

az policy state summarize --from "2018-03-08T00:00:00Z" --to "2018-03-15T00:00:00Z"

根据某些属性值获取当前订阅筛选结果中的最新不合规策略状态摘要。

az policy state summarize --filter "(policyDefinitionAction eq 'deny' or policyDefinitionAction eq 'audit') and resourceLocation ne 'eastus'"

可选参数

--filter

使用 OData 表示法筛选表达式。

--from

ISO 8601 格式化时间戳,指定要查询的时间间隔的开始时间。

--management-group -m

管理组的名称。

--namespace

提供程序命名空间(例如:Microsoft.Provider)。

--parent

父路径(例如:resourceTypeA/nameA/resourceTypeB/nameB)。

--policy-assignment -a

策略分配的名称。

--policy-definition -d

策略定义的名称。

--policy-set-definition -s

策略集定义的名称。

--resource

资源 ID 或资源名称。 如果指定了名称,请提供资源组和其他相关的资源 ID 参数。

--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

--resource-type

资源类型(例如:resourceTypeC)。

--to

ISO 8601 格式的时间戳,用于指定要查询的时间间隔的结束时间。

--top

要返回的最大记录数。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az policy state trigger-scan

触发范围的策略符合性评估。

az policy state trigger-scan [--no-wait]
                             [--resource-group]

示例

在当前订阅范围内触发策略符合性评估。

az policy state trigger-scan

触发资源组的策略符合性评估。

az policy state trigger-scan -g "myRg"

为资源组触发策略符合性评估,但不要等待它完成。

az policy state trigger-scan -g "myRg" --no-wait

可选参数

--no-wait

不等待长时间运行的操作完成。

默认值: False
--resource-group -g

资源组的名称。 可以使用 az configure --defaults group=<name> 配置默认组。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。