Nem megfelelő erőforrások szervizelése az Azure Policy használatával

  • Cikk

Azok az erőforrások, amelyek nem felelnek meg a deployIfNotExists vagy a módosítási effektusok szabályzatainak, szervizeléssel megfelelő állapotba helyezhetők. A szervizelés olyan szervizelési feladatokon keresztül történik, amelyek üzembe helyezik a deployIfNotExists sablont, vagy a hozzárendelt szabályzat módosítási műveleteit a meglévő erőforrásokon és előfizetéseken, függetlenül attól, hogy a hozzárendelés felügyeleti csoporton, előfizetésen, erőforráscsoporton vagy egyéni erőforráson található. Ez a cikk az Azure Policyval végzett szervizelés megértéséhez és elvégzéséhez szükséges lépéseket mutatja be.

A szervizelés hozzáférés-vezérlésének működése

Amikor az Azure Policy elindít egy sablontelepítést a deployIfNotExists-szabályzatok kiértékelésekor, vagy módosít egy erőforrást a szabályzatok kiértékelésekor, az a szabályzat-hozzárendeléshez társított felügyelt identitás használatával történik. A szabályzat-hozzárendelések felügyelt identitásokat használnak az Azure-erőforrások engedélyezéséhez. Használhat rendszer által hozzárendelt felügyelt identitást, amelyet a szabályzatszolgáltatás hoz létre, vagy felhasználó által hozzárendelt identitást, amelyet a felhasználó adott meg. A felügyelt identitáshoz hozzá kell rendelni az erőforrások szervizeléséhez szükséges minimális szerepköralapú hozzáférés-vezérlési (RBAC-) szerepkör(öke)t. Ha a felügyelt identitásból hiányoznak a szerepkörök, hibaüzenet jelenik meg a portálon, amikor szabályzatot vagy kezdeményezést próbál hozzárendelni. A portál használata során az Azure Policy automatikusan megadja a felügyelt identitásnak a felsorolt szerepköröket a hozzárendelés megkezdésekor. Azure-beli szoftverfejlesztői készlet (SDK) használatakor a szerepköröket manuálisan kell megadni a felügyelt identitásnak. A felügyelt identitás helye nem befolyásolja az Azure Policyval való működését.

Megjegyzés:

A szabályzatdefiníció módosítása nem frissíti automatikusan a hozzárendelést vagy a társított felügyelt identitást.

A szervizelési biztonság a következő lépésekkel konfigurálható:

A szabályzatdefiníció konfigurálása

Előfeltételként a szabályzatdefiníciónak meg kell határoznia azokat a szerepköröket, amelyek üzembe helyezik azIfNotExistset , és módosítaniuk kell a szükséges módosításokat a belefoglalt sablon tartalmának sikeres üzembe helyezéséhez. A beépített szabályzatdefiníciókhoz nincs szükség műveletre, mert ezek a szerepkörök előre vannak töltve. Egyéni szabályzatdefiníciók esetén a részletek tulajdonság alatt adjon hozzá egy roleDefinitionIds tulajdonságot . Ez a tulajdonság olyan sztringek tömbje, amelyek megfelelnek a környezet szerepköreinek. Teljes példáért tekintse meg a deployIfNotExists példát vagy a módosítási példákat.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

A roleDefinitionIds tulajdonság a teljes erőforrás-azonosítót használja, és nem veszi fel a szerepkör rövid szerepkörnevét . A "Közreműködő" szerepkör azonosítójának lekéréséhez használja a következő Azure CLI-kódot:

az role definition list --name "Contributor"

Fontos

Az engedélyeket a lehető legkisebbre kell korlátozni, amikor a roleDefinitionIds értéket egy szabályzatdefinícióban definiálja, vagy manuálisan rendeli hozzá az engedélyeket egy felügyelt identitáshoz. További ajánlott eljárásokért tekintse meg a felügyelt identitással kapcsolatos ajánlott eljárásokat .

A felügyelt identitás konfigurálása

Minden Azure Policy-hozzárendelés csak egy felügyelt identitáshoz társítható. A felügyelt identitás azonban több szerepkörhöz is hozzárendelhető. A konfiguráció két lépésben történik: először hozzon létre egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást, majd adja meg a szükséges szerepköröket.

Megjegyzés:

A felügyelt identitás portálon keresztüli létrehozásakor a szerepkörök automatikusan meg lesznek adva a felügyelt identitásnak. Ha a roleDefinitionId-eket később szerkesztik a szabályzatdefinícióban, az új engedélyeket manuálisan kell megadni, még a portálon is.

A felügyelt identitás létrehozása

Amikor a portál használatával hoz létre hozzárendelést, az Azure Policy létrehozhat egy rendszer által hozzárendelt felügyelt identitást, és megadhatja a szabályzatdefiníciós roleDefinitionIdsben meghatározott szerepköröket. Másik lehetőségként megadhat egy felhasználó által hozzárendelt felügyelt identitást is, amely ugyanazt a szerepkör-hozzárendelést kapja.

Screenshot of a policy assignment creating a system-assigned managed identity in East US with Log Analytics Contributor permissions.

Rendszer által hozzárendelt felügyelt identitás beállítása a portálon:

  1. A létrehozási/szerkesztési feladat nézet Szervizelés lapján, a Felügyelt identitástípusok csoportban győződjön meg arról, hogy a rendszer által hozzárendelt felügyelt identitás ki van jelölve.

  2. Adja meg a felügyelt identitás helyét.

  3. Ne rendeljen hozzá hatókört a rendszer által hozzárendelt felügyelt identitáshoz, mert a hatókör öröklődik a hozzárendelési hatókörből.

Felhasználó által hozzárendelt felügyelt identitás beállítása a portálon:

  1. A Hozzárendelés létrehozása/szerkesztése nézet Szervizelés lapján, a Felügyelt identitástípusok csoportban győződjön meg arról, hogy a felhasználó által hozzárendelt felügyelt identitás ki van jelölve.

  2. Adja meg a felügyelt identitás üzemeltetett hatókörét. A felügyelt identitás hatókörének nem kell megegyeznie a hozzárendelés hatókörével, de ugyanabban a bérlőben kell lennie.

  3. A Meglévő felhasználó által hozzárendelt identitások csoportban válassza ki a felügyelt identitást.

Engedélyek megadása a felügyelt identitáshoz meghatározott szerepkörökön keresztül

Fontos

Ha a felügyelt identitás nem rendelkezik a szükséges szervizelési feladat végrehajtásához szükséges engedélyekkel, akkor a rendszer automatikusan csak a portálon keresztül kap engedélyeket. Ezt a lépést kihagyhatja, ha felügyelt identitást hoz létre a portálon keresztül.

Minden más módszer esetében a hozzárendelés felügyelt identitásának manuálisan kell hozzáférést biztosítani a szerepkörök hozzáadásával, különben a szervizelési üzembe helyezés sikertelen lesz.

Manuális engedélyeket igénylő példaforgatókönyvek:

  • Ha a hozzárendelés azure-beli szoftverfejlesztői készlettel (SDK) jön létre
  • Ha a deployIfNotExists vagy a módosítás által módosított erőforrás kívül esik a szabályzat-hozzárendelés hatókörén
  • Ha a sablon a szabályzat-hozzárendelés hatókörén kívüli erőforrások tulajdonságait éri el

A hozzárendelés felügyelt identitásának kétféleképpen adható meg a definiált szerepkörök a portálon: a Hozzáférés-vezérlés (IAM) használatával, vagy a szabályzat vagy kezdeményezés hozzárendelésének szerkesztésével és a Mentés gombra kattintva.

Ha szerepkört szeretne hozzáadni a hozzárendelés felügyelt identitásához, kövesse az alábbi lépéseket:

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

  2. Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán.

  3. Keresse meg a felügyelt identitással rendelkező hozzárendelést, és válassza ki a nevet.

  4. Keresse meg a Feladatazonosító tulajdonságot a szerkesztési lapon. A hozzárendelés azonosítója a következőhöz hasonló lesz:

    /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5

    A felügyelt identitás neve a hozzárendelési erőforrás-azonosító utolsó része, amely ebben a példában szerepel 2802056bfc094dfb95d4d7a5 . Másolja ki a hozzárendelési erőforrás-azonosító ezen részét.

  5. Keresse meg azt az erőforrást vagy az erőforrás szülőtárolóját (erőforráscsoport, előfizetés, felügyeleti csoport), amelyet manuálisan kell hozzáadni a szerepkör-definícióhoz.

  6. Válassza a Hozzáférés-vezérlés (IAM) hivatkozást az erőforrások lapon, majd válassza a + Szerepkör-hozzárendelés hozzáadása lehetőséget a hozzáférés-vezérlési oldal tetején.

  7. Válassza ki a szabályzatdefiníciós azonosítónak megfelelő szerepkört. Hagyja meg a Hozzáférés hozzárendelése lehetőséget az "Azure AD-felhasználó, -csoport vagy -alkalmazás" alapértelmezett beállításához. A Kijelölés mezőbe illessze be vagy írja be a hozzárendelési erőforrás-azonosító korábban található részét. Ha a keresés befejeződött, válassza ki az azonos nevű objektumot az azonosító kiválasztásához, majd a Mentés gombra.

Szervizelési feladat létrehozása

Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

Screenshot of searching for Policy in All Services.

1. lépés: Javítási feladat létrehozásának kezdeményezése

A szervizelési feladatokat három módon hozhatja létre a portálon keresztül.

1. lehetőség: Szervizelési feladat létrehozása a Szervizelési oldalról

  1. Válassza a Szervizelés lehetőséget az Azure Policy oldal bal oldalán.

    Screenshot of the Remediation node on the Policy page.

  2. Az összes deployIfNotExists és módosítási szabályzat-hozzárendelés megjelenik a Szervizelés lap Házirendek lapján. Az Új szervizelési feladat lap megnyitásához válassza ki azokat az erőforrásokat, amelyek nem megfelelőek.

  3. Kövesse a lépéseket a szervizelési feladat részleteinek megadásához.

2. lehetőség: Szervizelési feladat létrehozása nem megfelelő szabályzat-hozzárendelésből

  1. Válassza a Megfelelőség lehetőséget az Azure Policy oldal bal oldalán.

  2. Válasszon ki egy nem megfelelő szabályzatot vagy kezdeményezési hozzárendelést, amely a deployIfNotExists vagy a módosítási effektusokat tartalmazza.

  3. Az Új szervizelési feladat lap megnyitásához kattintson a lap tetején található Szervizelési feladat létrehozása gombra.

  4. Kövesse a lépéseket a szervizelési feladat részleteinek megadásához.

3. lehetőség: Szervizelési feladat létrehozása szabályzat-hozzárendelés során

Ha a hozzárendelni kívánt szabályzat vagy kezdeményezés definíciója deployIfNotExists vagy Modify effektussal rendelkezik, a varázsló Szervizelés lapja egy Szervizelési feladat létrehozása lehetőséget kínál, amely a szabályzat-hozzárendeléssel egy időben hoz létre szervizelési feladatot.

Megjegyzés:

Ez a leggördülékenyebb módszer a szervizelési feladatok létrehozásához, és az előfizetéshez rendelt szabályzatok esetében támogatott. A felügyeleti csoporthoz rendelt szabályzatok esetében a szervizelési feladatokat az 1. vagy a 2. lehetőség használatával kell létrehozni, miután a kiértékelés megállapította az erőforrás-megfelelőséget.

  1. A portál hozzárendelési varázslójában lépjen a Szervizelés lapra. Jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet.

  2. Ha a szervizelési feladat kezdeményezési hozzárendelésből indul ki, válassza ki a legördülő menüből a szervizelendő szabályzatot.

  3. Konfigurálja a felügyelt identitást , és töltse ki a varázsló többi részét. A szervizelési feladat a hozzárendelés létrehozásakor jön létre.

2. lépés: A szervizelési tevékenység részleteinek megadása

Ez a lépés csak akkor alkalmazható, ha az 1. vagy a 2. lehetőséggel kezdeményezi a javítási feladat létrehozását.

  1. Ha a szervizelési feladat kezdeményezési hozzárendelésből indul ki, válassza ki a legördülő menüből a szervizelendő szabályzatot. Egy deployIfNotExists vagy módosítási szabályzat egyszerre egyetlen szervizelési feladattal orvosolható.

  2. Igény szerint módosítsa a javítási beállításokat a lapon. Az egyes beállításvezérlőkről további információt a szervizelési feladat struktúrája tartalmaz.

  3. Ugyanazon a lapon szűrje a szervizeléshez szükséges erőforrásokat a Hatókör három pontjának használatával, hogy gyermekerőforrásokat válasszon ki a házirend hozzárendelési helyén (beleértve az egyes erőforrás-objektumokra vonatkozókat is). Emellett a Helyek legördülő listával tovább szűrheti az erőforrásokat.

    Screenshot of the Remediate node and the grid of resources to remediate.

  4. Az erőforrások szűrése után a Szervizelés gombra kattintva kezdje el a szervizelési feladatot. A szabályzatmegfelelés lap megnyílik a Szervizelési feladatok lapra, amely megjeleníti a tevékenységek állapotát. A szervizelési feladat által létrehozott üzembe helyezések azonnal elkezdődik.

    Screenshot of the Remediation tasks tab and progress of existing remediation tasks.

3. lépés: A szervizelési tevékenység előrehaladásának nyomon követése

  1. Lépjen a Szervizelési lap Szervizelési feladatok lapjára. A szervizelési tevékenységre kattintva megtekintheti a használt szűrés részleteit, az aktuális állapotot és a szervizelendő erőforrások listáját.

  2. A Szervizelési tevékenység részletei lapon kattintson a jobb gombbal egy erőforrásra a szervizelési tevékenység üzembe helyezésének vagy az erőforrásnak a megtekintéséhez. A sor végén válassza a Kapcsolódó események lehetőséget a részletek, például egy hibaüzenet megtekintéséhez.

    Screenshot of the context menu for a resource on the Remediate task tab.

A szervizelési tevékenységen keresztül üzembe helyezett erőforrások a szabályzat-hozzárendelés részleteinek lapján az Üzembe helyezett erőforrások lapra kerülnek.

Következő lépések