Náprava nekompatibilních prostředků pomocí azure Policy

Prostředky, které nevyhovují zásadám s deployIfNotExists nebo úpravou efektů, můžou být prostřednictvím nápravy převedeny do kompatibilního stavu. Náprava se provádí prostřednictvím úloh nápravy, které nasazují šablonu deployIfNotExists nebo operace úprav přiřazené zásady pro vaše stávající prostředky a předplatná, ať už je toto přiřazení ve skupině pro správu, předplatném, skupině prostředků nebo v jednotlivých prostředcích. Tento článek popisuje kroky potřebné k pochopení a nápravě pomocí Azure Policy.

Jak funguje řízení přístupu k nápravě

Když Azure Policy spustí nasazení šablony při vyhodnocování zásad deployIfNotExists nebo upraví prostředek při vyhodnocování zásad , provede to pomocí spravované identity , která je přidružená k přiřazení zásad. Přiřazení zásad používají spravované identity pro autorizaci prostředků Azure. Můžete použít buď spravovanou identitu přiřazenou systémem, kterou vytvořila služba zásad, nebo identitu přiřazenou uživatelem, kterou poskytnul uživatel. Spravovaná identita musí mít přiřazené minimální role řízení přístupu na základě role (RBAC) vyžadované k nápravě prostředků. Pokud spravované identitě chybí role, během přiřazení zásad nebo iniciativy se na portálu zobrazí chyba. Při použití portálu Azure Policy po zahájení přiřazení automaticky udělí spravované identitě uvedené role. Při použití sady Azure SDK (Software Development Kit) musí být role spravované identitě uděleny ručně. Umístění spravované identity nemá vliv na její provoz se službou Azure Policy.

Poznámka:

Změna definice zásady automaticky neaktualizuje přiřazení ani přidruženou spravovanou identitu.

Zabezpečení nápravy je možné nakonfigurovat pomocí následujících kroků:

• Konfigurace definice zásady
• Konfigurace spravované identity
• Udělení oprávnění spravované identitě prostřednictvím definovaných rolí
• Vytvoření úlohy nápravy

Konfigurace definice zásady

Předpokladem je, že definice zásady musí definovat role, které nasazujíIfNotExists , a upravit musí úspěšně nasadit obsah zahrnuté šablony. Pro předdefinovanou definici zásad není nutná žádná akce, protože tyto role jsou předem vyplněné. Pro definici vlastní zásady v části podrobnosti vlastnosti přidejte vlastnost roleDefinitionIds. Tato vlastnost je pole řetězců, které odpovídají rolím ve vašem prostředí. Úplný příklad najdete v příkladu deployIfNotExists nebo v příkladech úprav.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

Vlastnost roleDefinitionIds používá úplný identifikátor prostředku a nepoužívá krátký název role role. Pokud chcete získat ID role Přispěvatel ve vašem prostředí, použijte následující kód Azure CLI:

az role definition list --name "Contributor"

Důležité

Oprávnění by měla být omezena na nejmenší možnou sadu při definování roleDefinitionId v definici zásady nebo ruční přiřazení oprávnění spravované identitě. Další osvědčené postupy najdete v doporučeních osvědčených postupů pro spravovanou identitu.

Konfigurace spravované identity

Každé přiřazení azure Policy je možné přidružit pouze k jedné spravované identitě. Spravovanou identitu ale můžete přiřadit více rolí. Konfigurace probíhá ve dvou krocích: nejprve vytvořte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem a pak jí udělte potřebné role.

Poznámka:

Při vytváření spravované identity prostřednictvím portálu se role automaticky udělí spravované identitě. Pokud se roleDefinitionId později upraví v definici zásady, musí být nová oprávnění udělena ručně, a to i na portálu.

Vytvoření spravované identity

Azure Portal

Při vytváření přiřazení pomocí portálu může Azure Policy vygenerovat spravovanou identitu přiřazenou systémem a udělit jí role definované v roliDefinitionIds definice zásady. Případně můžete zadat spravovanou identitu přiřazenou uživatelem, která obdrží stejné přiřazení role.

Nastavení spravované identity přiřazené systémem na portálu:

1. Na kartě Náprava v zobrazení přiřazení pro vytvoření/úpravu v části Typy spravované identity se ujistěte, že je vybraná spravovaná identita přiřazená systémem.

2. Zadejte umístění, ve kterém se má spravovaná identita nacházet.

3. Nepřiřazujte obor spravované identity přiřazené systémem, protože obor bude zděděný z oboru přiřazení.

Nastavení spravované identity přiřazené uživatelem na portálu:

1. Na kartě Náprava v zobrazení přiřazení pro vytvoření/úpravu v části Typy spravované identity se ujistěte, že je vybraná spravovaná identita přiřazená uživatelem.

2. Zadejte obor, ve kterém je spravovaná identita hostovaná. Rozsah spravované identity nemusí odpovídat rozsahu přiřazení, ale musí být ve stejném tenantovi.

3. V části Existující identity přiřazené uživatelem vyberte spravovanou identitu.

PowerShell

Pokud chcete vytvořit identitu během přiřazování zásady, musí být definováno umístění a použita identita .

Následující příklad získá definici předdefinované zásady Nasazení transparentního šifrování dat databáze SQL, nastaví cílovou skupinu prostředků a pak vytvoří přiřazení pomocí spravované identity přiřazené systémem.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Následující příklad získá definici předdefinované zásady Nasazení transparentního šifrování dat databáze SQL, nastaví cílovou skupinu prostředků a pak vytvoří přiřazení pomocí spravované identity přiřazené uživatelem.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Proměnná $assignment teď obsahuje ID objektu zabezpečení spravované identity spolu se standardními hodnotami vrácenými při vytváření přiřazení zásady. K této identitě je možné přistupovat prostřednictvím $assignment.Identity.PrincipalId spravovaných identit přiřazených systémem a $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId pro spravované identity přiřazené uživatelem.

Azure CLI

Pokud chcete vytvořit identitu během přiřazování zásady, použijte příkazy az policy assignment create s parametry --location, --mi-system-assigned, --mi-user-assigned a --identity-scope v závislosti na tom, jestli má být spravovaná identita přiřazena systémem nebo přiřazena uživatelem.

Pokud chcete přidat identitu přiřazenou systémem nebo identitu přiřazenou uživatelem k přiřazení zásad, postupujte podle příkladu příkazu az policy assignment identity assign .

Udělení oprávnění spravované identitě prostřednictvím definovaných rolí

Důležité

Pokud spravovaná identita nemá oprávnění potřebná ke spuštění požadované úlohy nápravy, udělí se oprávnění automaticky jenom prostřednictvím portálu. Tento krok můžete přeskočit, pokud vytvoříte spravovanou identitu prostřednictvím portálu.

U všech ostatních metod musí být spravovaná identita přiřazení ručně udělena přístup prostřednictvím přidání rolí, jinak nasazení nápravy selže.

Ukázkové scénáře, které vyžadují ruční oprávnění:

• Pokud se přiřazení vytvoří prostřednictvím sady Azure SDK (Software Development Kit)
• Pokud je prostředek upravený nástrojem deployIfNotExists nebo úprava mimo rozsah přiřazení zásad.
• Pokud šablona přistupuje k vlastnostem prostředků mimo obor přiřazení zásad

Azure Portal

Spravovanou identitu přiřazení můžete udělit dvěma způsoby pomocí portálu: pomocí řízení přístupu (IAM) nebo úpravou zásady nebo přiřazení iniciativy a výběrem možnosti Uložit.

Pokud chcete přidat roli do spravované identity přiřazení, postupujte takto:

1. Spusťte službu Azure Policy na webu Azure Portal tak, že vyberete Všechny služby a pak vyhledáte a vyberete Zásady.

2. Na levé straně stránky služby Azure Policy vyberte Přiřazení.

3. Vyhledejte přiřazení, které má spravovanou identitu, a vyberte název.

4. Na stránce pro úpravy najděte vlastnost ID přiřazení. ID přiřazení bude vypadat přibližně takto:

   /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Název spravované identity je poslední částí ID prostředku přiřazení, což je 2802056bfc094dfb95d4d7a5 v tomto příkladu. Zkopírujte tuto část ID zdroje přiřazení.

5. Přejděte k prostředku nebo nadřazeného kontejneru prostředků (skupina prostředků, předplatné, skupina pro správu), který potřebuje definici role ručně přidat.

6. Na stránce prostředků vyberte odkaz Řízení přístupu (IAM) a pak v horní části stránky řízení přístupu vyberte + Přidat přiřazení role.

7. Z definice zásady vyberte odpovídající roli, která odpovídá id roleDefinitionId . Ponechte možnost Přiřadit přístup, abyste nastavili výchozí hodnotu "Uživatel, skupina nebo aplikace Azure AD". Do pole Vybrat vložte nebo zadejte část ID zdroje přiřazení, které se nachází dříve. Po dokončení hledání vyberte objekt se stejným názvem a vyberte ID a vyberte Uložit.

PowerShell

Aby bylo možné udělit potřebné role, musí nová spravovaná identita dokončit replikaci prostřednictvím Azure Active Directory. Po dokončení replikace následující příklady iterují definici $policyDef zásady pro roleDefinitionIds a pomocí rutiny New-AzRoleAssignment udělují nové spravované identitě role.

Konkrétně první příklad ukazuje, jak udělit role v oboru zásad. Druhý příklad ukazuje, jak udělit role v oboru iniciativy (sada zásad).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Aby bylo možné udělit potřebné role, musí nová spravovaná identita dokončit replikaci prostřednictvím Azure Active Directory. Po dokončení replikace by se role zadané v definici roleDefinitionId zásad měly udělit spravované identitě.

Získejte přístup k rolím zadaným v definici zásady pomocí příkazu az policy definition show a pak iterujte jednotlivé roleDefinitionId a vytvořte přiřazení role pomocí příkazu az role assignment create .

Vytvoření úlohy nápravy

Azure Portal

Spusťte službu Azure Policy na webu Azure Portal tak, že vyberete Všechny služby a pak vyhledáte a vyberete Zásady.

Krok 1: Zahájení vytváření úloh nápravy

Prostřednictvím portálu můžete vytvořit úlohu nápravy třemi způsoby.

Možnost 1: Vytvoření úlohy nápravy na stránce Náprava

1. Na levé straně stránky Azure Policy vyberte Náprava .

   

2. Všechna nasazeníIfNotExists a úprava přiřazení zásad jsou zobrazena na kartě Zásady k nápravě . Vyberte jeden s prostředky, které nedodržují předpisy, a otevřete stránku Nová nápravná úloha .

3. Podle kroků určete podrobnosti úlohy nápravy.

Možnost 2: Vytvoření úlohy nápravy z přiřazení zásad nedodržování předpisů

1. Na levé straně stránky Azure Policy vyberte Dodržování předpisů .

2. Vyberte nekompatibilní zásady nebo přiřazení iniciativy obsahující deployIfNotExists nebo upravte efekty.

3. Výběrem tlačítka Vytvořit úlohu nápravy v horní části stránky otevřete stránku Nová úloha nápravy.

4. Podle kroků určete podrobnosti úlohy nápravy.

Možnost 3: Vytvoření úlohy nápravy během přiřazení zásad

Pokud má přiřazená zásada nebo definice iniciativy nasazeníIfNotExists nebo účinek Modify, nabízí karta Náprava průvodce možnost Vytvořit úlohu nápravy, která vytvoří úlohu nápravy současně s přiřazením zásady.

Poznámka:

Jedná se o nejfektivněnější přístup k vytvoření úlohy nápravy a je podporovaný pro zásady přiřazené k předplatnému. U zásad přiřazených ke skupině pro správu by se měly úlohy nápravy vytvořit pomocí možnosti 1 nebo možnosti 2 po vyhodnocení, které určilo dodržování předpisů u prostředků.

1. V průvodci přiřazením na portálu přejděte na kartu Náprava . Zaškrtněte políčko Vytvořit úlohu nápravy.

2. Pokud je úloha nápravy inicializována z přiřazení iniciativy, vyberte zásadu, která se má napravit z rozevíracího seznamu.

3. Nakonfigurujte spravovanou identitu a vyplňte zbytek průvodce. Úloha nápravy se vytvoří při vytvoření přiřazení.

Krok 2: Zadání podrobností úlohy nápravy

Tento krok je použitelný pouze při použití možnosti 1 nebo možnosti 2 k zahájení vytváření úloh nápravy.

1. Pokud je úloha nápravy inicializována z přiřazení iniciativy, vyberte zásadu, která se má napravit z rozevíracího seznamu. Jeden deployIfNotExists nebo upravit zásadu lze napravit prostřednictvím jedné úlohy nápravy najednou.

2. Volitelně můžete upravit nastavení nápravy na stránce. Informace o tom, co jednotlivé ovládací prvky nastavení řídí, najdete v tématu o nápravě struktury úloh.

3. Na stejné stránce vyfiltrujte prostředky, které chcete napravit, pomocí tří teček oboru a vyberte podřízené prostředky, ze kterých je zásada přiřazená (včetně jednotlivých objektů prostředků). K dalšímu filtrování prostředků použijte rozevírací seznam Umístění .

   

4. Jakmile prostředky vyfiltrují, začněte úlohu nápravy výběrem možnosti Opravit. Na kartě Úlohy nápravy se otevře stránka dodržování zásad, která zobrazuje stav průběhu úkolů. Nasazení vytvořená úlohou nápravy začnou hned.

   

Krok 3: Sledování průběhu úlohy nápravy

1. Na stránce Náprava přejděte na kartu Úlohy nápravy. Kliknutím na úlohu nápravy zobrazíte podrobnosti o použitém filtrování, aktuálním stavu a seznamu nápravných prostředků.

2. Na stránce s podrobnostmi úlohy nápravy klikněte pravým tlačítkem myši na prostředek a zobrazte buď nasazení úlohy nápravy, nebo prostředek. Na konci řádku vyberte Související události a zobrazte podrobnosti, například chybovou zprávu.

   

Prostředky nasazené prostřednictvím úlohy nápravy se přidají na kartu Nasazené prostředky na stránce podrobností o přiřazení zásad.

PowerShell

Pokud chcete vytvořit úlohu nápravy pomocí Azure PowerShellu Start-AzPolicyRemediation , použijte příkazy. Nahraďte {subscriptionId} ID vašeho předplatného a {myAssignmentId} pomocí svého deployIfNotExists nebo upravte ID přiřazení zásad.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Můžete se také rozhodnout upravit nastavení nápravy pomocí těchto volitelných parametrů:

• -FailureThreshold - Používá se k určení, zda má úloha nápravy selhat, pokud procento selhání překročí danou prahovou hodnotu. Poskytuje se jako číslo v rozsahu od 0 do 100. Ve výchozím nastavení je prahová hodnota selhání 100 %.
• -ResourceCount – Určuje, kolik prostředků nedodržuje předpisy k nápravě v dané úloze nápravy. Výchozí hodnota je 500 (předchozí limit). Maximální počet je 50 000 prostředků.
• -ParallelDeploymentCount – Určuje, kolik prostředků se má napravit současně. Povolené hodnoty jsou současně 1 až 30 prostředků. Výchozí hodnota je 10.

Další rutiny a příklady nápravy najdete v modulu Az.Policy Přehledy.

Azure CLI

Pokud chcete vytvořit úlohu nápravy pomocí Azure CLI, použijte az policy remediation příkazy. Nahraďte {subscriptionId} ID vašeho předplatného a {myAssignmentId} pomocí svého deployIfNotExists nebo upravte ID přiřazení zásad.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Další příkazy a příklady nápravy najdete v příkazech az policy remediation .

Další kroky

• Projděte si příklady v ukázkách azure Policy.
• Projděte si strukturu definic Azure Policy.
• Projděte si Vysvětlení efektů zásad.
• Seznamte se s programovým vytvářením zásad.
• Zjistěte, jak získat data dodržování předpisů.
• Zkontrolujte, co je skupina pro správu pomocí uspořádání prostředků pomocí skupin pro správu Azure.