A nemmegfelelőség okainak meghatározása

  • Cikk

Ha egy Azure-erőforrást úgy határoznak meg, hogy nem felel meg egy szabályzatszabálynak, hasznos tisztában lenni azzal, hogy az erőforrás melyik része nem felel meg a szabálynak. Azt is érdemes tudni, hogy melyik módosítás módosította a korábban megfelelő erőforrást, hogy az ne legyen megfelelő. Kétféleképpen keresheti meg ezeket az információkat:

Megfelelőségi adatok

Ha egy erőforrás nem megfelelő, az erőforrás megfelelőségi adatai a Szabályzatmegfelelőségi oldalon érhetők el. A megfelelőségi részletek panel a következő információkat tartalmazza:

  • Az erőforrás részletei, például a név, a típus, a hely és az erőforrás-azonosító.
  • Az aktuális szabályzat-hozzárendelés legutóbbi kiértékelésének megfelelőségi állapota és időbélyege.
  • Az erőforrás meg nem felelésének okainak listája.

Fontos

Mivel egy nem megfelelő erőforrás megfelelőségi adatai az adott erőforrás tulajdonságainak aktuális értékét mutatják, a felhasználónak olvasási művelettel kell rendelkeznie az erőforrás típusához. Ha például a nem megfelelő erőforrás, Microsoft.Compute/virtualMachines akkor a felhasználónak rendelkeznie kell a Microsoft.Compute/virtualMachines/read művelettel. Ha a felhasználó nem rendelkezik a szükséges művelettel, megjelenik egy hozzáférési hiba.

A megfelelőségi adatok megtekintéséhez kövesse az alábbi lépéseket:

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

  2. Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy nem megfelelő megfelelőségi állapotúszabályzatot.

  3. A Szabályzatmegfelelőség lap Erőforrásmegfelelőség lapján jelölje ki és tartsa lenyomva (vagy kattintson rá a jobb gombbal), vagy jelölje ki egy nem megfelelő megfelelőségi állapotú erőforrás három pontját. Ezután válassza a Megfelelőségi adatok megtekintése lehetőséget.

    Screenshot of the View compliance details link on the Resource compliance tab.

  4. A Megfelelőség részletei panel az erőforrás legújabb kiértékelésétől az aktuális szabályzat-hozzárendelésig jeleníti meg az információkat. Ebben a példában a mező Microsoft.Sql/servers/version12.0, míg a szabályzatdefiníció 14,0-s értékre számított. Ha az erőforrás több okból sem felel meg a követelményeknek, mindegyik megjelenik ezen a panelen.

    Screenshot of the Compliance details pane and reasons for non-compliance that current value is 12 and target value is 14.

    Egy auditIfNotExists vagy deployIfNotExists szabályzatdefiníció esetében a részletek tartalmazzák a details.type tulajdonságot és az opcionális tulajdonságokat. A lista megtekintéséhez tekintse meg az auditIfNotExists tulajdonságait és a DeployIfNotExists tulajdonságokat. Az utolsó kiértékelt erőforrás a definíció részletes szakaszából származó kapcsolódó erőforrás.

    Példa részleges deployIfNotExists definícióra:

    {
  "if": {
    "field": "type",
    "equals": "[parameters('resourceType')]"
  },
  "then": {
    "effect": "deployIfNotExists",
    "details": {
      "type": "Microsoft.Insights/metricAlerts",
      "existenceCondition": {
        "field": "name",
        "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
      },
      "existenceScope": "subscription",
      "deployment": {
        ...
      }
    }
  }
}

    Screenshot of Compliance details pane for ifNotExists including evaluated resource count.

Megjegyzés:

Az adatok védelme érdekében, ha egy tulajdonság értéke titkos , az aktuális érték csillagokat jelenít meg.

Ezek a részletek azt mutatják be, hogy egy erőforrás miért nem megfelelő, de nem jeleníti meg, hogy mikor történt a módosítás az erőforráson, amely miatt nem megfelelővé vált. További információ: Változáselőzmények (előzetes verzió).

Megfelelőségi okok

A Resource Manager ésaz Erőforrás-szolgáltató módnak különböző okai vannak a meg nem felelés miatt.

Általános Resource Manager mód megfelelőségi okai

Az alábbi táblázat az egyes Resource Manager-módokokat a szabályzatdefiníció felelős feltételéhez képezi le:

Ok Feltétel
Az aktuális értéknek kulcsként kell tartalmaznia a célértéket. containsKey vagy notContainsKey
Az aktuális értéknek tartalmaznia kell a célértéket. A nem tartalmazza aContainst
Az aktuális értéknek meg kell egyenlõnek lennie a célértékel. egyenlő vagy nem egyenlő
Az aktuális értéknek kisebbnek kell lennie a célértéknél. kisebb vagy nem nagyobbOrEquals
Az aktuális értéknek nagyobbnak vagy egyenlőnek kell lennie a célértéknél. greaterOrEquals vagy nem kisebb
Az aktuális értéknek nagyobbnak kell lennie, mint a célérték. nagyobb vagy nem lízingeltOrEquals
Az aktuális értéknek kisebbnek vagy egyenlőnek kell lennie a célértéknél. lessOrEquals vagy nem nagyobb
Az aktuális értéknek léteznie kell. Létezik
Az aktuális értéknek a célértékben kell lennie. in vagy notIn
Az aktuális értéknek a célértékhez hasonlónak kell lennie. like vagy notLike
Az aktuális értéknek a célértéknek megfelelő kis- és nagybetűknek kell lennie. egyezés vagy nem egyezés
Az aktuális értéknek a célértéknek nem megfelelő kis- és nagybetűknek kell lennie. matchInsensitively vagy notMatchInsensitively
Az aktuális érték nem tartalmazhat kulcsként a célértéket. notContainsKey vagy not containsKey
Az aktuális érték nem tartalmazhat célértéket. notContains vagy not contains
Az aktuális érték nem lehet egyenlő a célértékel. notEquals vagy notEquals
Az aktuális érték nem létezhet. nem létezik
Az aktuális érték nem lehet a célértékben. notIn vagy not in
Az aktuális érték nem lehet olyan, mint a célérték. notLike vagy nem tetszik
Az aktuális érték nem lehet a célértéknek megfelelő kis- és nagybetűk megkülönböztetése. notMatch vagy not match
Az aktuális érték nem lehet érzéketlen a célértékhez. notMatchInsensitively vagy not matchInsensitively
Egyetlen kapcsolódó erőforrás sem egyezik a szabályzatdefinícióban szereplő effektus részleteivel. A szabályzatszabály ha részének definiált és ahhoz kapcsolódó típusú erőforrás then.details.type nem létezik.

Az Azure Policy erőforrás-szolgáltatói módjának megfelelőségi okai

Az alábbi táblázat az egyes Microsoft.PolicyInsightserőforrás-szolgáltatói mód okkódjait a megfelelő magyarázatnak megfelelően képezi le:

Megfelelőségi ok kódja Hibaüzenet és magyarázat
NonModifiablePolicyAlias NonModifiableAliasConflict: A(z) "{alias}" alias nem módosítható a(z) "{apiVersion}" API-verziót használó kérelmekben. Ez a hiba akkor fordul elő, ha egy OLYAN API-verziót használó kérés, amelyben az alias nem támogatja a módosítási effektust, vagy csak a "módosítás" effektust támogatja egy másik jogkivonattípussal.
AppendPoliciesNotApplicable AppendPoliciesUnableToAppend: A(z) {aliases }" aliasok nem módosíthatók az API-verziót használó kérelmekben: "{ apiVersion }". Ez olyan API-verziókat használó kérésekben fordulhat elő, amelyeknél az aliasok nem támogatják a módosítási effektust, vagy más jogkivonattípussal támogatják a módosítási effektust.
ÜtközőAppendPolicies ÜtközőAppendPolicies: Ütköző szabályzat-hozzárendeléseket talált, amelyek módosítják a(z) {notApplicableFields} mezőt. Szabályzatazonosítók: "{policy}". A szabályzat-hozzárendelések frissítéséhez forduljon az előfizetés rendszergazdájához.
AppendPoliciesFieldsExist AppendPoliciesFieldsExistWithDifferentValues: A szabályzat-hozzárendelések olyan mezőket próbáltak hozzáfűzni, amelyek már léteznek a kérelemben különböző értékekkel. Mezők: "{existingFields}". Szabályzatazonosítók: "{policy}". A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához.
AppendPoliciesUndefinedFields AppendPoliciesUndefinedFields: Olyan szabályzatdefiníciót talált, amely a(z) {apiVersion} API-verzió nem definiált mezőtulajdonságára hivatkozik. Mezők: {nonExistingFields}. Szabályzatazonosítók: "{policy}". A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához.
MissingRegistrationForType MissingRegistrationForResourceType: Az előfizetés nincs regisztrálva a(z) {ResourceType} erőforrástípushoz. Ellenőrizze, hogy az erőforrástípus létezik-e, és hogy az erőforrástípus regisztrálva van-e.
AmbiguousPolicyEvaluationPaths A kérelem tartalma egy vagy több félreérthető elérési úttal rendelkezik: a szabályzatok által megkövetelt "{0}" elérési utak: ""{1}.
InvalidResourceNameWildcardPosition A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli "{2}" erőforrásnév érvénytelen pozícióban tartalmazza a "?" helyettesítő karaktert. A helyettesítő karakterek csak önmagukban (például TopLevelResourceName/?) találhatóak a szegmensek nevének végén. Javítsa ki a szabályzatot, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához.
TooManyResourceNameSegments A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli "{2}" erőforrásnév túl sok névszegmenst tartalmaz. A névszegmensek számának egyenlőnek vagy kisebbnek kell lennie, mint a típusszegmensek száma (az erőforrás-szolgáltató névterének kivételével). Javítsa ki a szabályzatdefiníciót, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához.
InvalidPolicyFieldPath A szabályzatdefinícióban lévő "{0}" mező elérési útja érvénytelen. A mezőútvonalak nem tartalmazhatnak üres szegmenseket. Ezek csak alfanumerikus karaktereket tartalmazhatnak, kivéve a szegmensek felosztásához használt "." karaktert és a [*]" karaktersorozatot a tömbtulajdonságok eléréséhez.

Az AKS-erőforrás-szolgáltató mód megfelelőségi okai

Az alábbi táblázat az egyes Microsoft.Kubernetes.Dataerőforrás-szolgáltatói módokait a szabályzatdefiníció kényszersablonjának felelős állapotára képezi le:

Ok Kényszersablon okának leírása
Korlátozás/TemplateCreateFailed Az erőforrás nem tudott olyan korlátozással/sablonnal rendelkező szabályzatdefinícióhoz létrehozni, amely nem felel meg egy meglévő korlátozásnak/sablonnak a fürtben erőforrás metaadat-neve alapján.
Korlátozás/TemplateUpdateFailed A korlátozás/sablon nem tudott frissíteni egy szabályzatdefinícióhoz egy olyan korlátozással/sablonnal, amely megfelel egy meglévő korlátozásnak/sablonnak a fürtön erőforrás-metaadatok neve alapján.
Korlátozás/TemplateInstallFailed A kényszer/sablon létrehozása nem sikerült, és nem sikerült a fürtre telepíteni a létrehozási vagy frissítési művelethez.
ConstraintTemplateConflicts A sablon ütközik egy vagy több olyan szabályzatdefinícióval, amely ugyanazt a sablonnevet használja különböző forrással.
ConstraintStatusStale Van egy meglévő "Audit" állapot, de a Gatekeeper nem végzett ellenőrzést az elmúlt egy órában.
ConstraintNotProcessed Nincs állapot, és a Gatekeeper nem végzett ellenőrzést az elmúlt egy órában.
InvalidConstraint/Template Az erőforrást az alábbi okok egyike miatt utasították el: érvénytelen kényszersablon – Rego-tartalom, érvénytelen YAML vagy paramétertípus-eltérés a kényszer és a kényszersablon között (sztringértéket ad meg, ha egész szám várható).

Megjegyzés:

A fürtön már meglévő szabályzat-hozzárendelések és kényszersablonok esetén, ha a korlátozás/sablon meghiúsul, a fürt a meglévő korlátozás/sablon fenntartásával lesz védve. A fürt nem megfelelőként jelent, amíg meg nem oldja a hibát a szabályzat-hozzárendelésen vagy a bővítmény öngyógyításán. Az ütközések kezeléséről további információt a Kényszersablon ütközései című témakörben talál.

Erőforrás-szolgáltatói módok összetevőinek részletei

Erőforrás-szolgáltatói módú hozzárendelések esetén válassza ki a nem megfelelő erőforrást az összetevő megfelelőségi rekordjainak megtekintéséhez. Az Összetevő-megfelelőség lap az erőforrás-szolgáltató módra vonatkozó további információkat jelenít meg, például az összetevő nevét, az összetevő azonosítóját és a típust.

Screenshot of Component Compliance dashboard and compliance details for assignments with a Resource Provider mode.

A vendégkonfiguráció megfelelőségi adatai

A Vendégkonfiguráció kategóriában lévő szabályzatdefiníciók esetében több beállítás is kiértékelhető a virtuális gépen belül, és meg kell tekintenie a beállításonkénti részleteket. Ha például a biztonsági beállítások listáját naplózzák, és csak az egyik állapota nem megfelelő, tudnia kell, hogy mely beállítások nem megfelelőek, és miért.

Előfordulhat, hogy nem tud közvetlenül bejelentkezni a virtuális gépre, de jelentenie kell, hogy miért nem megfelelő a virtuális gép.

Azure Portal

Először is kövesse ugyanazokat a lépéseket a Megfelelőségi részletek szakaszban a szabályzatmegfelelés részleteinek megtekintéséhez.

A Megfelelőség részletei panel nézetben válassza az Utolsó kiértékelt erőforrás hivatkozását.

Screenshot of viewing the auditIfNotExists definition compliance details.

A Vendég-hozzárendelés lapon megjelenik az összes elérhető megfelelőségi adat. A nézetben minden sor egy olyan kiértékelési értéket jelöl, amelyet a gépen belül hajtottak végre. Az Ok oszlopban egy kifejezés jelenik meg, amely leírja, hogy a vendéghozzárendelés miért nem megfelelő. Ha például jelszószabályzatokat naplóz, az Ok oszlopban az egyes beállítások aktuális értékét tartalmazó szöveg jelenik meg.

Screenshot of the Guest Assignment compliance details.

Konfiguráció-hozzárendelés részleteinek megtekintése nagy méretekben

A vendégkonfigurációs funkció az Azure Policy-hozzárendeléseken kívül is használható. Az Azure Automanage például vendégkonfigurációs hozzárendeléseket hoz létre, vagy a gépek üzembe helyezésekor konfigurációkat rendelhet hozzá.

A bérlő összes vendégkonfigurációs hozzárendelésének megtekintéséhez nyissa meg a Vendéghozzárendelések lapot az Azure Portalon. A részletes megfelelőségi információk megtekintéséhez jelölje ki az egyes hozzárendeléseket a Név oszlop hivatkozásával.

Screenshot of the Guest Assignment page.

Változáselőzmények (előzetes verzió)

Egy új nyilvános előzetes verzió részeként az elmúlt 14 nap változási előzményei minden olyan Azure-erőforráshoz elérhetők, amelyek támogatják a teljes mód törlését. A változáselőzmények részletesen ismertetik, hogy mikor történt változás észlelése, és hogy az egyes módosításokhoz milyen vizualizációk jelennek meg. A változásészlelés akkor aktiválódik, ha az Azure Resource Manager-tulajdonságokat hozzáadják, eltávolítják vagy módosítják.

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

  2. Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy szabályzatot bármilyen megfelelőségi állapotban.

  3. A Szabályzatmegfelelés lap Erőforrás-megfelelőség lapján válasszon ki egy erőforrást.

  4. Az Erőforrás-megfelelőség lapon válassza az Előzmény módosítása (előzetes verzió) lapot. Megjelenik az észlelt módosítások listája, ha vannak ilyenek.

    Screenshot of the Change History tab and detected change times on Resource Compliance page.

  5. Válassza ki az észlelt módosítások egyikét. Az erőforrás vizualizációs diffje a Változáselőzmények lapon jelenik meg.

    Screenshot of the Change History Visual Diff of the before and after state of properties on the Change history page.

    A vizualizációs diff segíti az erőforrás változásainak azonosítását. Előfordulhat, hogy az észlelt módosítások nem kapcsolódnak az erőforrás aktuális megfelelőségi állapotához.

A változáselőzmények adatait az Azure Resource Graph szolgáltatja. Ha az Azure Portalon kívül szeretné lekérdezni ezeket az információkat, olvassa el az erőforrás-módosítások lekérése című témakört.

További lépések