Azure Policy estrutura de tarefas de remediação

A funcionalidade Azure Policy tarefa de remediação é utilizada para colocar recursos em conformidade estabelecidos a partir de uma definição e atribuição. Os recursos que não estão em conformidade com uma atribuição de definição modificar ou implementarIfNotExist podem ser colocados em conformidade com uma tarefa de remediação. A tarefa de remediação implementa o modelo deployIFNotExist ou as operações de modificação para os recursos não conformes selecionados com a identidade especificada na atribuição. Veja a estrutura de atribuição de políticas. para compreender como a identidade é definido e remediar o tutorial de recursos não conformes para configurar a identidade.

Nota

As tarefas de remediação remediam a transferência de recursos que não estão em conformidade. Os recursos recentemente criados ou atualizados aplicáveis a uma atribuição de definição deployIfNotExist ou modificação são remediados automaticamente.

Utilize JavaScript Object Notation (JSON) para criar uma tarefa de remediação de políticas. A tarefa de remediação de políticas contém elementos para:

• nome a apresentar
• descrição
• atribuição de política
• definições de política dentro de uma iniciativa
• contagem de recursos e implementações paralelas
• limiar de falha
• filtros de remediação
• modo de deteção de recursos
• estado de aprovisionamento e resumo da implementação

Por exemplo, o JSON seguinte mostra uma tarefa de remediação de políticas para a definição de política denominada requiredTags parte de uma atribuição de iniciativa denominada resourceShouldBeCompliantInit com todas as predefinições.

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "apiVersion": "2021-10-01",
    "name": "remediateNotCompliant",
    "type": "Microsoft.PolicyInsights/remediations",
    "properties": {
        "policyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
        "policyDefinitionReferenceIds":  "requiredTags",
        "resourceCount": 42,
        "parallelDeployments": 6,
        "failureThreshold": {
            "percentage": 0.1
        }
    }
}

Passos sobre como acionar uma tarefa de remediação para saber como remediar recursos não conformes

Nota

Estas definições não podem ser alteradas depois de a tarefa de remediação ter sido iniciada.

Nome a apresentar e descrição

Utilize displayName e description para identificar a tarefa de remediação de políticas e fornecer contexto para a sua utilização. displayName tem um comprimento máximo de 128 carateres e uma descrição com um comprimento máximo de 512 carateres.

ID de atribuição de política

Este campo tem de ser o nome do caminho completo de uma atribuição de política ou de uma atribuição de iniciativa. policyAssignmentId é uma cadeia e não uma matriz. Esta propriedade define a atribuição da hierarquia de recursos principal ou do recurso individual a remediar.

ID de definição de política

Se for policyAssignmentId para uma atribuição de iniciativa, a propriedade policyDefinitionReferenceId tem de ser utilizada para especificar que definição de política na iniciativa os recursos do requerente devem ser remediados. Como uma remediação só pode ser remediada num âmbito de uma definição, esta propriedade é uma cadeia e não uma matriz. O valor tem de corresponder ao valor na definição de iniciativa no policyDefinitions.policyDefinitionReferenceId campo em vez do identificador global para a definição Idde política .

Contagem de recursos e implementações paralelas

Utilize a contagem de recursos para determinar quantos recursos não conformes são remediados numa determinada tarefa de remediação. O valor predefinido é 500, sendo que o número máximo é 50 000. As implementações paralelas determinam quantos desses recursos são remediados ao mesmo tempo. O intervalo permitido está entre 1 e 30 e o valor predefinido é 10.

Nota

As implementações paralelas são o número de implementações numa tarefa de remediação singular com um máximo de 30. Pode haver um máximo de 100 tarefas de remediação em execução em paralelo para uma única definição de política ou referência de política numa iniciativa.

Limiar de falha

Uma propriedade opcional utilizada para especificar se a tarefa de remediação deve falhar se a percentagem de falhas exceder o limiar especificado. O limiar de falha é representado como um número percentual de 0 a 100. Por predefinição, o limiar de falha é de 100%, o que significa que a tarefa de remediação continuará a remediar outros recursos, mesmo que os recursos não sejam remediados.

Filtros de remediação

Uma propriedade opcional refina os recursos aplicáveis à tarefa de remediação. O filtro permitido é a localização dos recursos. A menos que seja especificado, os recursos de qualquer região podem ser remediados.

Modo de deteção de recursos

Esta propriedade decide como detetar recursos elegíveis para remediação. Para que um recurso seja elegível, tem de ser incompatível. Por predefinição, esta propriedade está definida como ExistingNonCompliant. Também pode ser definido como ReEvaluateCompliance, o que irá acionar uma nova análise de compatibilidade para essa atribuição e remediar quaisquer recursos que sejam considerados não conformes.

Resumo do estado de aprovisionamento e da implementação

Assim que uma tarefa de remediação for criada, as propriedades de estado de aprovisionamento e resumo da implementação são preenchidas. O estado de aprovisionamento indica o estado da tarefa de remediação. Os valores de permissão são Running, Canceled, Cancelling, Failed, Completeou Succeeded. O resumo da implementação é uma propriedade de matriz que indica o número de implementações, juntamente com o número de implementações bem-sucedidas e falhadas.

Exemplo de tarefa de remediação que foi concluída com êxito:

{
    "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
    "Type":  "Microsoft.PolicyInsights/remediations",
    "Name":  "remediateNotCompliant",
    "PolicyAssignmentId":  "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceIds":  "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
        "percentage": 0.1
    },
    "ProvisioningState":  "Succeeded",
    "DeploymentSummary":  {
        "TotalDeployments":  42,
        "SuccessfulDeployments":  42,
        "FailedDeployments":  0
    },
}

Passos seguintes

• Compreender como determinar as causas da não conformidade.
• Saiba como obter dados de conformidade.
• Saiba como remediar recursos não conformes.
• Compreenda como reagir a Azure Policy eventos de alteração de estado.
• Saiba mais sobre a estrutura de definição de política.
• Saiba mais sobre a estrutura de atribuição de políticas.