[Preview] Přiřazení spravovaných identit pomocí Azure Policy
Azure Policy pomáhá vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém měřítku. Prostřednictvím řídicího panelu dodržování předpisů poskytuje služba Azure Policy agregované zobrazení, které správcům pomáhá vyhodnotit celkový stav prostředí. Můžete přejít k podrobnostem jednotlivých prostředků a podrobností zásad. Pomáhá také přivést prostředky k dodržování předpisů prostřednictvím hromadné nápravy stávajících prostředků a automatické nápravy pro nové prostředky. Mezi běžné případy použití pro Azure Policy patří implementace zásad správného řízení pro:
- Konzistence prostředků
- Dodržování legislativní předpisů
- Zabezpečení
- Náklady
- Správa
Definice zásad pro tyto běžné případy použití jsou už dostupné ve vašem prostředí Azure, které vám pomůžou začít.
Agenti monitorování Azure vyžadují spravovanou identitu na monitorovaných virtuálních počítačích Azure. Tento dokument popisuje chování předdefinované služby Azure Policy poskytované Microsoftem, které pomáhá zajistit spravovanou identitu potřebnou pro tyto scénáře, je přiřazena virtuálním počítačům ve velkém měřítku.
I když je možné používat spravovanou identitu přiřazenou systémem, při použití ve velkém měřítku (například pro všechny virtuální počítače v předplatném) má za následek značný počet identit vytvořených (a odstraněných) v Microsoft Entra ID. Pokud se chcete této četnosti identit vyhnout, doporučujeme používat spravované identity přiřazené uživatelem, které je možné vytvořit jednou a sdílet napříč několika virtuálními počítači.
Poznámka:
Doporučujeme používat spravovanou identitu přiřazenou uživatelem pro každé předplatné Azure v jednotlivých oblastech Azure.
Zásady jsou navržené tak, aby toto doporučení implementovaly.
Definice a podrobnosti zásad
Po provedení zásady provede následující akce:
- Pokud neexistuje, vytvořte novou integrovanou spravovanou identitu přiřazenou uživatelem v předplatném a každou oblast Azure založenou na virtuálních počítačích, které jsou v oboru zásad.
- Po vytvoření umístěte zámek na spravovanou identitu přiřazenou uživatelem, aby se omylem neodstranila.
- Přiřaďte integrovanou spravovanou identitu přiřazenou uživatelem k virtuálním počítačům z předplatného a oblasti na základě virtuálních počítačů, které jsou v oboru zásad.
Poznámka:
Pokud už má virtuální počítač přiřazenou přesně 1 spravovanou identitu přiřazenou uživatelem, zásady tento virtuální počítač přeskočí a přiřadí předdefinované identity. Tím zajistíte, aby přiřazení zásad neporušil aplikace, které závisely na výchozím chování koncového bodu tokenu na IMDS.
Zásady se dají použít ve dvou scénářích:
- Nechte zásadu vytvářet a používat "integrovanou" spravovanou identitu přiřazenou uživatelem.
- Používání vlastní spravované identity přiřazené uživatelem
Zásady mají následující vstupní parametry:
- Přineste si vlastní UAMI? – Má se zásada vytvořit, pokud neexistuje, novou spravovanou identitu přiřazenou uživatelem?
- Pokud je nastavená hodnota true, musíte zadat:
- Název spravované identity
- Skupina prostředků, ve které by se měla vytvořit spravovaná identita.
- Pokud je nastavená hodnota false, není potřeba žádný další vstup.
- Zásada vytvoří požadovanou spravovanou identitu přiřazenou uživatelem s názvem "integrovaná identita" ve skupině prostředků s názvem "built-in-identity-rg".
Použití zásad
Vytvoření přiřazení zásad
Definici zásad je možné přiřadit k různým oborům v Azure – v předplatném skupiny pro správu nebo ke konkrétní skupině prostředků. Vzhledem k tomu, že zásady je potřeba vynutit po celou dobu, operace přiřazení se provádí pomocí spravované identity přidružené k objektu přiřazení zásad. Objekt přiřazení zásad podporuje spravovanou identitu přiřazenou systémem i přiřazenou uživatelem. Joe může například vytvořit spravovanou identitu přiřazenou uživatelem s názvem PolicyAssignmentMI. Předdefinované zásady vytvoří spravovanou identitu přiřazenou uživatelem v každém předplatném a v každé oblasti s prostředky, které jsou v oboru přiřazení zásad. Spravované identity přiřazené uživatelem vytvořené zásadou mají následující formát resourceId:
/subscriptions/your-subscription-id/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-{location}
Příklad:
/subscriptions/aaaabbbb-aaaa-bbbb-11111222223333/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-eastus
Požadovaná autorizace
Aby spravovaná identita PolicyAssignmentMI mohla přiřadit předdefinované zásady napříč zadaným oborem, potřebuje následující oprávnění vyjádřená jako přiřazení role Azure RBAC (řízení přístupu na základě role Azure):
| Objekt zabezpečení | Role nebo akce | Obor | Účel |
|---|---|---|---|
| PolicyAssigmentMI | Operátor spravovaných identit | /subscription/subscription-id/resourceGroups/built-in-identity NEBO Používání vlastní identity spravované uživatelem |
Vyžaduje se k přiřazení předdefinované identity k virtuálním počítačům. |
| PolicyAssigmentMI | Přispěvatel | /subscription/subscription-id> | Vyžaduje se k vytvoření skupiny prostředků, která obsahuje integrovanou spravovanou identitu v předplatném. |
| PolicyAssigmentMI | Přispěvatel spravované identity | /subscription/subscription-id/resourceGroups/built-in-identity | Vyžaduje se k vytvoření nové spravované identity přiřazené uživatelem. |
| PolicyAssigmentMI | Správce uživatelských přístupů | /subscription/subscription-id/resourceGroups/built-in-identity NEBO Používání spravované identity přiřazené uživatelem |
Vyžaduje se k nastavení zámku spravované identity přiřazené uživatelem vytvořené zásadou. |
Vzhledem k tomu, že objekt přiřazení zásad musí mít toto oprávnění předem, policyAssignmentMI nemůže být spravovanou identitou přiřazenou systémem pro tento scénář. Uživatel provádějící úlohu přiřazení zásad musí předem autorizovat policyAssignmentMI s výše uvedenými přiřazeními rolí.
Jak vidíte, že výsledná minimální požadovaná role oprávnění je v oboru předplatného "přispěvatel".
Známé problémy
Možný stav časování s jiným nasazením, které změní identity přiřazené k virtuálnímu počítači, může vést k neočekávaným výsledkům.
Pokud existují dvě nebo více paralelních nasazení, které aktualizují stejný virtuální počítač a všechny změní konfiguraci identity virtuálního počítače, je možné, že za určitých podmínek časování nebudou všechny očekávané identity přiřazeny k počítačům. Pokud například zásady v tomto dokumentu aktualizují spravované identity virtuálního počítače a současně jiný proces provádí změny oddílu spravovaných identit, není zaručeno, že se k virtuálnímu počítači správně přiřazují všechny očekávané identity.