Náprava nekompatibilních prostředků pomocí azure Policy

Prostředky, které nevyhovují zásadám deployIfNotExists nebo modify mají vliv, můžou být prostřednictvím nápravy převedeny do kompatibilního stavu. Náprava se provádí prostřednictvím úloh nápravy, které nasazují deployIfNotExists šablonu nebo modify operace přiřazené zásady pro vaše stávající prostředky a předplatná, ať už je toto přiřazení ve skupině pro správu, předplatném, skupině prostředků nebo v jednotlivých prostředcích. Tento článek popisuje kroky potřebné k pochopení a nápravě pomocí Azure Policy.

Jak funguje řízení přístupu k nápravě

Když Azure Policy spustí nasazení šablony při vyhodnocování deployIfNotExists zásad nebo upraví prostředek při vyhodnocování modify zásad, použije k tomu spravovanou identitu přidruženou k přiřazení zásad. Přiřazení zásad používají spravované identity pro autorizaci prostředků Azure. Můžete použít spravovanou identitu přiřazenou systémem vytvořenou službou zásad nebo identitu přiřazenou uživatelem poskytovanou uživatelem. Spravovaná identita musí mít přiřazenou minimální roli řízení přístupu na základě role Azure (Azure RBAC) potřebnou k nápravě prostředků. Pokud spravované identitě chybí role, během přiřazení zásad nebo iniciativy se na portálu zobrazí chyba. Když použijete portál, Azure Policy po spuštění přiřazení automaticky udělí spravované identitě uvedené role. Pokud používáte sadu Sdk (Software Development Kit) Azure, musí být role spravované identitě uděleny ručně. Umístění spravované identity nemá vliv na její provoz se službou Azure Policy.

Poznámka:

Změna definice zásady automaticky neaktualizuje přiřazení ani přidruženou spravovanou identitu.

Zabezpečení nápravy je možné nakonfigurovat pomocí následujících kroků:

• Konfigurace definice zásady
• Konfigurace spravované identity
• Udělení oprávnění spravované identitě prostřednictvím definovaných rolí
• Vytvoření úlohy nápravy

Konfigurace definice zásady

V rámci předpokladu musí definice zásady definovat role, které deployIfNotExists je modify potřeba úspěšně nasadit obsah zahrnuté šablony. Pro předdefinovanou definici zásad není nutná žádná akce, protože tyto role jsou předem vyplněné. Pro vlastní definici zásad pod details vlastností přidejte roleDefinitionIds vlastnost. Tato vlastnost je pole řetězců, které odpovídají rolím ve vašem prostředí. Úplný příklad najdete v tématu deployIfNotExists nebo modify.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

Vlastnost roleDefinitionIds používá úplný identifikátor prostředku a nemá krátkou roli roleName . Pokud chcete získat ID role Přispěvatel ve vašem prostředí, použijte následující kód Azure CLI:

az role definition list --name "Contributor"

Důležité

Oprávnění by měla být omezena na nejmenší možnou sadu při definování roleDefinitionIds v definici zásady nebo ručním přiřazování oprávnění spravované identitě. Další osvědčené postupy najdete v doporučeních osvědčených postupů pro spravovanou identitu.

Konfigurace spravované identity

Každé přiřazení azure Policy je možné přidružit pouze k jedné spravované identitě. Spravovanou identitu ale můžete přiřadit více rolí. Konfigurace probíhá ve dvou krocích: nejprve vytvořte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem a pak jí udělte potřebné role.

Poznámka:

Při vytváření spravované identity prostřednictvím portálu se role automaticky udělí spravované identitě. Pokud roleDefinitionIds jsou později upravena v definici zásady, musí být nová oprávnění udělena ručně i na portálu.

Vytvoření spravované identity

Azure Portal

Když vytvoříte přiřazení pomocí portálu, azure Policy může vygenerovat spravovanou identitu přiřazenou systémem a udělit jí role definované v definici roleDefinitionIdszásad . Případně můžete zadat spravovanou identitu přiřazenou uživatelem, která obdrží stejné přiřazení role.

Nastavení spravované identity přiřazené systémem na portálu:

1. Na kartě Náprava v zobrazení přiřazení pro vytvoření/úpravu v části Typy spravované identity se ujistěte, že je vybraná spravovaná identita přiřazená systémem.

2. Zadejte umístění, ve kterém se má spravovaná identita nacházet.

3. Nepřiřazujte obor spravované identity přiřazené systémem, protože obor je zděděný z oboru přiřazení.

Nastavení spravované identity přiřazené uživatelem na portálu:

1. Na kartě Náprava v zobrazení přiřazení pro vytvoření/úpravu v části Typy spravované identity se ujistěte, že je vybraná spravovaná identita přiřazená uživatelem.

2. Zadejte obor, ve kterém je spravovaná identita hostovaná. Rozsah spravované identity nemusí odpovídat rozsahu přiřazení, ale musí být ve stejném tenantovi.

3. V části Existující identity přiřazené uživatelem vyberte spravovanou identitu.

PowerShell

Pokud chcete vytvořit identitu během přiřazování zásady, musí být definováno umístění a použita identita .

Následující příklad získá definici předdefinované zásady Nasazení transparentního šifrování dat databáze SQL, nastaví cílovou skupinu prostředků a pak vytvoří přiřazení pomocí spravované identity přiřazené systémem.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Následující příklad získá definici předdefinované zásady Nasazení transparentního šifrování dat databáze SQL, nastaví cílovou skupinu prostředků a pak vytvoří přiřazení pomocí spravované identity přiřazené uživatelem.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Proměnná $assignment teď obsahuje ID objektu zabezpečení spravované identity spolu se standardními hodnotami vrácenými při vytváření přiřazení zásady. K této identitě je možné přistupovat prostřednictvím $assignment.Identity.PrincipalId spravovaných identit přiřazených systémem a $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId pro spravované identity přiřazené uživatelem.

Azure CLI

Pokud chcete vytvořit identitu během přiřazování zásad, použijte příkazy az policy assignment create s parametry --location, --mi-system-assigned--mi-user-assigneda --identity-scope v závislosti na tom, jestli má být spravovaná identita přiřazena systémem nebo přiřazena uživatelem.

Pokud chcete přidat identitu přiřazenou systémem nebo identitu přiřazenou uživatelem k přiřazení zásad, postupujte podle příkladu příkazu az policy assignment identity assign .

Udělení oprávnění spravované identitě prostřednictvím definovaných rolí

Důležité

Pokud spravovaná identita nemá oprávnění potřebná ke spuštění požadované úlohy nápravy, udělí se oprávnění automaticky jenom prostřednictvím portálu. Tento krok můžete přeskočit, pokud vytvoříte spravovanou identitu prostřednictvím portálu.

U všech ostatních metod musí být spravovaná identita přiřazení ručně udělena přístup prostřednictvím přidání rolí, jinak nasazení nápravy selže.

Ukázkové scénáře, které vyžadují ruční oprávnění:

• Pokud se přiřazení vytvoří prostřednictvím sady Azure SDK (Software Development Kit)
• Pokud je zdroj upravený deployIfNotExists nebo modify je mimo rozsah přiřazení zásady
• Pokud šablona přistupuje k vlastnostem prostředků mimo obor přiřazení zásad

Azure Portal

Spravovanou identitu přiřazení můžete udělit dvěma způsoby pomocí portálu: pomocí řízení přístupu (IAM) nebo úpravou zásady nebo přiřazení iniciativy a výběrem možnosti Uložit.

Pokud chcete přidat roli do spravované identity přiřazení, postupujte takto:

1. Spusťte službu Azure Policy na webu Azure Portal tak, že vyberete Všechny služby a pak vyhledáte a vyberete Zásady.

2. Na levé straně stránky služby Azure Policy vyberte Přiřazení.

3. Vyhledejte přiřazení, které má spravovanou identitu, a vyberte název.

4. Na stránce pro úpravy najděte vlastnost ID přiřazení. ID přiřazení vypadá jako v následujícím příkladu:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Název spravované identity je poslední částí ID prostředku přiřazení, což je 2802056bfc094dfb95d4d7a5 v tomto příkladu. Zkopírujte tuto část ID zdroje přiřazení.

5. Přejděte k prostředku nebo nadřazeného kontejneru prostředků (skupina prostředků, předplatné, skupina pro správu), který potřebuje definici role ručně přidat.

6. Na stránce prostředků vyberte odkaz Řízení přístupu (IAM) a pak v horní části stránky řízení přístupu vyberte + Přidat přiřazení role.

7. Vyberte odpovídající roli, která odpovídá roleDefinitionIds definici zásady. Ponechte možnost Přiřadit přístup, abyste nastavili výchozí hodnotu uživatel, skupina nebo aplikace. Do pole Vybrat vložte nebo zadejte část ID zdroje přiřazení, které se nachází dříve. Po dokončení hledání vyberte objekt se stejným názvem a vyberte ID a vyberte Uložit.

PowerShell

Aby bylo možné udělit potřebné role, musí nová spravovaná identita dokončit replikaci prostřednictvím ID Microsoft Entra. Po dokončení replikace následující příklady iterují definici $policyDef zásady pro rutinu roleDefinitionIds New-AzRoleAssignment k udělení nové spravované identity rolím.

Konkrétně první příklad ukazuje, jak udělit role v oboru zásad. Druhý příklad ukazuje, jak udělit role v oboru iniciativy (sada zásad).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Aby bylo možné udělit potřebné role, musí nová spravovaná identita dokončit replikaci prostřednictvím ID Microsoft Entra. Po dokončení replikace by měly být spravované identitě uděleny role zadané v definici roleDefinitionIds zásad.

Přístup k rolím zadaným v definici zásady pomocí příkazu az policy definition show a následné iterace roleDefinitionIds k vytvoření přiřazení role pomocí příkazu az role assignment create .

Vytvoření úlohy nápravy

Azure Portal

Spusťte službu Azure Policy na webu Azure Portal tak, že vyberete Všechny služby a pak vyhledáte a vyberete Zásady.

Krok 1: Zahájení vytváření úloh nápravy

Prostřednictvím portálu můžete vytvořit úlohu nápravy třemi způsoby.

Možnost 1: Vytvoření úlohy nápravy na stránce Náprava

1. Na levé straně stránky Azure Policy vyberte Náprava .

   

2. modify Všechna deployIfNotExists přiřazení a přiřazení zásad se zobrazují na kartě Zásady, které chcete napravit. Vyberte zdroj, který nedodržuje předpisy, a otevřete stránku Nová úloha nápravy.

3. Podle kroků určete podrobnosti úlohy nápravy.

Možnost 2: Vytvoření úlohy nápravy z přiřazení zásad nedodržování předpisů

1. Na levé straně stránky Azure Policy vyberte Dodržování předpisů .

2. Vyberte nekompatibilní zásady nebo přiřazení iniciativy obsahující deployIfNotExists nebo modify efekty.

3. Výběrem tlačítka Vytvořit úlohu nápravy v horní části stránky otevřete stránku Nová úloha nápravy.

4. Podle kroků určete podrobnosti úlohy nápravy.

Možnost 3: Vytvoření úlohy nápravy během přiřazení zásad

Pokud má přiřazená deployIfNotExists modify definice zásady nebo iniciativy nějaký účinek, nabízí karta Náprava průvodce možnost Vytvořit úlohu nápravy, která vytvoří úlohu nápravy ve stejnou dobu jako přiřazení zásady.

Poznámka:

Jedná se o nejfektivněnější přístup k vytvoření úlohy nápravy a je podporovaný pro zásady přiřazené k předplatnému. U zásad přiřazených ke skupině pro správu by se měly úlohy nápravy vytvořit pomocí možnosti 1 nebo možnosti 2 po vyhodnocení, které určilo dodržování předpisů u prostředků.

1. V průvodci přiřazením na portálu přejděte na kartu Náprava . Zaškrtněte políčko Vytvořit úlohu nápravy.

2. Pokud je úloha nápravy inicializována z přiřazení iniciativy, vyberte zásadu, která se má napravit z rozevíracího seznamu.

3. Nakonfigurujte spravovanou identitu a vyplňte zbytek průvodce. Úloha nápravy se vytvoří při vytvoření přiřazení.

Krok 2: Zadání podrobností úlohy nápravy

Tento krok je použitelný pouze při použití možnosti 1 nebo možnosti 2 k zahájení vytváření úloh nápravy.

1. Pokud je úloha nápravy inicializována z přiřazení iniciativy, vyberte zásadu, která se má napravit z rozevíracího seznamu. Jednu deployIfNotExists nebo modify zásadu je možné napravit jednou úlohou nápravy najednou.

2. Volitelně můžete upravit nastavení nápravy na stránce. Informace o tom, co jednotlivé ovládací prvky nastavení řídí, najdete v tématu o nápravě struktury úloh.

3. Na stejné stránce vyfiltrujte prostředky, které chcete napravit, pomocí tří teček oboru a vyberte podřízené prostředky, ze kterých je zásada přiřazená (včetně jednotlivých objektů prostředků). K dalšímu filtrování prostředků použijte rozevírací seznam Umístění .

   

4. Jakmile se prostředky vyfiltrují, začněte úlohu nápravy výběrem možnosti Opravit. Na kartě Úlohy nápravy se otevře stránka dodržování zásad, která zobrazuje stav průběhu úkolů. Nasazení vytvořená úlohou nápravy začnou hned.

   

Krok 3: Sledování průběhu úlohy nápravy

1. Na stránce Náprava přejděte na kartu Úlohy nápravy. Výběrem úlohy nápravy zobrazíte podrobnosti o použitém filtrování, aktuálním stavu a seznamu prostředků, které se opravují.

2. Na stránce s podrobnostmi úlohy nápravy klikněte pravým tlačítkem myši na prostředek a zobrazte buď nasazení úlohy nápravy, nebo prostředek. Na konci řádku vyberte Související události a zobrazte podrobnosti, například chybovou zprávu.

   

Prostředky nasazené prostřednictvím úlohy nápravy se přidají na kartu Nasazené prostředky na stránce podrobností o přiřazení zásad.

PowerShell

Pokud chcete vytvořit úlohu nápravy pomocí Azure PowerShellu Start-AzPolicyRemediation , použijte příkazy. Nahraďte {subscriptionId} ID předplatného a {myAssignmentId} deployIfNotExists modify ID přiřazení zásad.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Můžete se také rozhodnout upravit nastavení nápravy pomocí těchto volitelných parametrů:

• -FailureThreshold - Používá se k určení, zda má úloha nápravy selhat, pokud procento selhání překročí danou prahovou hodnotu. Poskytuje se jako číslo v rozsahu od 0 do 100. Ve výchozím nastavení je prahová hodnota selhání 100 %.
• -ResourceCount – Určuje, kolik prostředků nedodržuje předpisy k nápravě v dané úloze nápravy. Výchozí hodnota je 500 (předchozí limit). Maximální počet je 50 000 prostředků.
• -ParallelDeploymentCount – Určuje, kolik prostředků se má napravit současně. Povolené hodnoty jsou současně 1 až 30 prostředků. Výchozí hodnota je 10.

Další rutiny a příklady nápravy najdete v modulu Az.PolicyInsights .

Azure CLI

Pokud chcete vytvořit úlohu nápravy pomocí Azure CLI, použijte az policy remediation příkazy. Nahraďte {subscriptionId} ID předplatného a {myAssignmentId} deployIfNotExists modify ID přiřazení zásad.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Další příkazy a příklady nápravy najdete v příkazech az policy remediation .

Další kroky

• Projděte si příklady v ukázkách azure Policy.
• Projděte si strukturu definic Azure Policy.
• Projděte si Vysvětlení efektů zásad.
• Seznamte se s programovým vytvářením zásad.
• Zjistěte, jak získat data dodržování předpisů.
• Zkontrolujte, co je skupina pro správu pomocí uspořádání prostředků pomocí skupin pro správu Azure.