[Előzetes verzió] Felügyelt identitások hozzárendelése az Azure Policy használatával
Az Azure Policy segít kikényszeríteni a szervezeti szabványokat, és felmérni a megfelelőséget. A megfelelőségi irányítópulton keresztül az Azure Policy egy összesített nézetet biztosít, amely segít a rendszergazdáknak a környezet általános állapotának értékelésében. Az erőforrásonkénti, szabályzatonkénti részletesség részletezésére is lehetősége van. Emellett segít az erőforrások megfelelőségének biztosításában a meglévő erőforrások tömeges szervizelése és az új erőforrások automatikus szervizelése révén. Az Azure Policy gyakori használati esetei közé tartozik a következőkre vonatkozó szabályozás implementálása:
- Erőforrás-konzisztencia
- Előírásoknak való megfelelés
- Biztonság
- Költség
- Menedzsment
Ezekre a gyakori használati esetekre vonatkozó szabályzatdefiníciók már elérhetők az Azure-környezetben az első lépésekhez.
Az Azure Monitoring Agents felügyelt identitást igényel a figyelt Azure-beli virtuális gépeken. Ez a dokumentum a Microsoft által biztosított beépített Azure Policy viselkedését ismerteti, amely segít biztosítani, hogy az ilyen forgatókönyvekhez szükséges felügyelt identitások nagy méretekben legyenek hozzárendelve a virtuális gépekhez.
A rendszer által hozzárendelt felügyelt identitás használata esetén nagy méretekben (például az előfizetésben lévő összes virtuális gép esetében) jelentős számú identitás jön létre (és törölve) a Microsoft Entra-azonosítóban. Az identitások ilyen mértékű változásának elkerülése érdekében ajánlott felhasználó által hozzárendelt felügyelt identitásokat használni, amelyek egyszer hozhatók létre, és több virtuális gépen oszthatók meg.
Feljegyzés
Javasoljuk, hogy Azure-előfizetésenként használjon felhasználó által hozzárendelt felügyelt identitást Azure-régiónként.
A szabályzat célja, hogy megvalósítsa ezt a javaslatot.
Szabályzatdefiníció és részletek
A végrehajtáskor a szabályzat a következő műveleteket hajtja végre:
- Ha nem létezik, hozzon létre egy új beépített, felhasználó által hozzárendelt felügyelt identitást az előfizetésben és minden Azure-régióban a szabályzat hatókörébe tartozó virtuális gépek alapján.
- A létrehozás után helyezzen egy zárolást a felhasználó által hozzárendelt felügyelt identitásra, hogy ne lehessen véletlenül törölni.
- Rendelje hozzá a beépített felhasználó által hozzárendelt felügyelt identitást a virtuális gépekhez az előfizetésből és a régióból a szabályzat hatókörébe tartozó virtuális gépek alapján.
Feljegyzés
Ha a virtuális géphez pontosan 1 felhasználó által hozzárendelt felügyelt identitás van hozzárendelve, akkor a szabályzat kihagyja ezt a virtuális gépet a beépített identitás hozzárendeléséhez. Ez azt jelenti, hogy a szabályzat hozzárendelése nem szakítja meg azokat az alkalmazásokat, amelyek függőséget okoznak a jogkivonatvégpont alapértelmezett viselkedésétől az IMDS-ben.
A szabályzatot két forgatókönyv használja:
- A szabályzat hozzon létre és használjon egy "beépített" felhasználó által hozzárendelt felügyelt identitást.
- Saját, felhasználó által hozzárendelt felügyelt identitás létrehozása.
A szabályzat a következő bemeneti paramétereket használja:
- Hozd a saját UAMI-t? – Létre kell-e hoznia a szabályzatnak egy új, felhasználó által hozzárendelt felügyelt identitást, ha nem létezik?
- Ha igaz értékre van állítva, a következőket kell megadnia:
- A felügyelt identitás neve
- Erőforráscsoport, amelyben létre kell hozni a felügyelt identitást.
- Ha hamis értékre van állítva, akkor nincs szükség további bemenetre.
- A szabályzat létrehozza a szükséges felhasználó által hozzárendelt felügyelt identitást "beépített identitás" néven egy "beépített identitás-rg" nevű erőforráscsoportban.
A szabályzat használata
A szabályzat-hozzárendelés létrehozása
A szabályzatdefiníció különböző hatókörökhöz rendelhető az Azure-ban – a felügyeleti csoport előfizetésében vagy egy adott erőforráscsoportban. Mivel a szabályzatokat folyamatosan kényszeríteni kell, a hozzárendelési műveletet a szabályzat-hozzárendelés objektumhoz társított felügyelt identitással hajtja végre. A szabályzat-hozzárendelési objektum támogatja a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitást is. Joe például létrehozhat egy felhasználó által hozzárendelt felügyelt identitást PolicyAssignmentMI néven. A beépített szabályzat minden előfizetésben és régióban létrehoz egy felhasználó által hozzárendelt felügyelt identitást a szabályzat-hozzárendelés hatókörébe tartozó erőforrásokkal. A szabályzat által létrehozott, felhasználó által hozzárendelt felügyelt identitások a következő resourceId formátumúak:
/subscriptions/your-subscription-id/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-{location}
Példa:
/subscriptions/aaaabbbb-aaaa-bbbb-111122223333/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-eastus
Szükséges engedélyezés
Ahhoz, hogy a PolicyAssignmentMI felügyelt identitása hozzárendelhesse a beépített szabályzatot a megadott hatókörhöz, a következő engedélyekre van szüksége, azure RBAC(Azure szerepköralapú hozzáférés-vezérlés) szerepkör-hozzárendelésként kifejezve:
| Rendszerbiztonsági tag | Szerepkör/művelet | Hatókör | Cél |
|---|---|---|---|
| PolicyAssigmentMI | Felügyelt identitások üzemeltetője | /subscription/subscription-id/resourceGroups/built-in-identity VAGY Saját felhasználó által felügyelt identitás létrehozása |
A beépített identitás virtuális gépekhez való hozzárendeléséhez szükséges. |
| PolicyAssigmentMI | Közreműködő | /subscription/subscription-id> | A beépített felügyelt identitást tartalmazó erőforráscsoport létrehozásához szükséges az előfizetésben. |
| PolicyAssigmentMI | Felügyelt identitás közreműködője | /subscription/subscription-id/resourceGroups/built-in-identity | Új, felhasználó által hozzárendelt felügyelt identitás létrehozásához szükséges. |
| PolicyAssigmentMI | Felhasználói hozzáférés adminisztrátora | /subscription/subscription-id/resourceGroups/built-in-identity VAGY Saját felhasználó által hozzárendelt-felügyelt identitás létrehozása |
A házirend által létrehozott, felhasználó által hozzárendelt felügyelt identitás zárolásának beállításához szükséges. |
Mivel a szabályzat-hozzárendelési objektumnak idővel rendelkeznie kell ezzel az engedéllyel, a PolicyAssignmentMI nem lehet rendszer által hozzárendelt felügyelt identitás ebben a forgatókönyvben. A szabályzat-hozzárendelési feladatot végrehajtó felhasználónak előzetesen engedélyeznie kell a PolicyAssignmentMI-t a fenti szerepkör-hozzárendelésekkel.
Mint látható, az eredményül kapott minimális jogosultsági szerepkör a "közreműködő" az előfizetés hatókörében.
Ismert problémák
A virtuális géphez rendelt identitásokat módosító másik üzembe helyezés lehetséges versenyfeltételei váratlan eredményeket eredményezhetnek.
Ha két vagy több párhuzamos üzembe helyezés frissíti ugyanazt a virtuális gépet, és mind megváltoztatják a virtuális gép identitáskonfigurációját, akkor adott versenyfeltételek mellett lehetséges, hogy az összes várt identitás NEM lesz hozzárendelve a gépekhez. Ha például a dokumentumban szereplő szabályzat frissíti egy virtuális gép felügyelt identitásait, és ugyanakkor egy másik folyamat is módosítja a felügyelt identitások szakaszt, akkor nem garantált, hogy az összes elvárt identitás megfelelően van hozzárendelve a virtuális géphez.