Az erőforrás-hierarchia védelme
Az erőforrások, az erőforráscsoportok, az előfizetések, a felügyeleti csoportok és a bérlő együttesen alkotják az erőforráshierarchiát. A gyökérszintű felügyeleti csoport beállításai, például az Azure egyéni szerepkörei vagy Azure Policy szabályzat-hozzárendelések hatással lehetnek az erőforrás-hierarchiában lévő összes erőforrásra. Fontos megvédeni az erőforrás-hierarchiát az összes erőforrást negatívan befolyásoló változásoktól.
A felügyeleti csoportok mostantól hierarchiabeállításokkal rendelkeznek, amelyek lehetővé teszik, hogy a bérlői rendszergazda szabályozhassa ezeket a viselkedéseket. Ez a cikk az egyes rendelkezésre álló hierarchiabeállításokat és azok beállítását ismerteti.
Azure RBAC-engedélyek hierarchiabeállításokhoz
A hierarchia beállításainak konfigurálásához a következő két erőforrás-szolgáltatói műveletre van szükség a gyökérszintű felügyeleti csoportban:
Microsoft.Management/managementgroups/settings/write
Microsoft.Management/managementgroups/settings/read
Ezek a műveletek csak a felhasználók számára teszik lehetővé a hierarchiabeállítások olvasását és frissítését. A műveletek nem biztosítanak más hozzáférést a felügyeleti csoport hierarchiájához vagy a hierarchiában lévő erőforrásokhoz. Mindkét művelet elérhető az Azure beépített szerepkör hierarchiabeállítás-rendszergazdájában.
Beállítás – Alapértelmezett felügyeleti csoport
Alapértelmezés szerint egy bérlőn belül hozzáadott új előfizetés lesz hozzáadva a gyökérszintű felügyeleti csoport tagjaként. Ha a szabályzat-hozzárendelések, az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) és más szabályozási szerkezetek a gyökérszintű felügyeleti csoporthoz vannak rendelve, azonnal érvénybe lépnek ezek az új előfizetések. Ezért sok szervezet nem alkalmazza ezeket a szerkezeteket a gyökérszintű felügyeleti csoportban, annak ellenére, hogy ez a kívánt hely a hozzárendelésükhöz. Más esetekben szigorúbb vezérlőkre van szükség az új előfizetésekhez, de nem szabad minden előfizetéshez hozzárendelni. Ez a beállítás mindkét használati esetet támogatja.
Az új előfizetések alapértelmezett felügyeleti csoportjának definiálásával szervezeti szintű szabályozási szerkezetek alkalmazhatók a gyökérszintű felügyeleti csoportban, és meghatározható egy külön felügyeleti csoport, amely szabályzat-hozzárendelésekkel vagy azure-beli szerepkör-hozzárendelésekkel rendelkezik, amelyek jobban megfelelnek az új előfizetéseknek.
Alapértelmezett felügyeleti csoport beállítása a portálon
A beállítás Azure Portal való konfigurálásához kövesse az alábbi lépéseket:
A keresősávon keresse meg és válassza a "Felügyeleti csoportok" lehetőséget.
A gyökérszintű felügyeleti csoportban válassza a felügyeleti csoport neve melletti részleteket.
A Beállítások területen válassza a Hierarchia beállításai elemet.
Válassza az Alapértelmezett felügyeleti csoport módosítása gombot.
Megjegyzés
Ha az Alapértelmezett felügyeleti csoport módosítása gomb le van tiltva, akkor a megtekintett felügyeleti csoport nem a gyökérszintű felügyeleti csoport, vagy a biztonsági tag nem rendelkezik a hierarchiabeállítások módosításához szükséges engedélyekkel.
Válasszon ki egy felügyeleti csoportot a hierarchiából, és használja a Kiválasztás gombot.
Alapértelmezett felügyeleti csoport beállítása REST API-val
Ha ezt a beállítást REST API-val szeretné konfigurálni, a rendszer meghívja a Hierarchiabeállítások végpontot. Ehhez használja az alábbi REST API URI-t és törzsformátumot. Cserélje le a elemet {rootMgID}
a gyökérszintű felügyeleti csoport azonosítójára, majd {defaultGroupID}
a felügyeleti csoport azonosítójára, hogy az legyen az alapértelmezett felügyeleti csoport:
REST API URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
Kérelem törzse
{ "properties": { "defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/{defaultGroupID}" } }
Ha vissza szeretné állítani az alapértelmezett felügyeleti csoportot a gyökérszintű felügyeleti csoportra, használja ugyanazt a végpontot, és állítsa a defaultManagementGroup értéket a értékre /providers/Microsoft.Management/managementGroups/{rootMgID}
.
Beállítás – Engedélyezés megkövetelése
Alapértelmezés szerint minden felhasználó létrehozhat új felügyeleti csoportokat egy bérlőn belül. A bérlő rendszergazdái csak bizonyos felhasználók számára kívánják biztosítani ezeket az engedélyeket, hogy fenntartsák a konzisztenciát és a megfelelőséget a felügyeleti csoport hierarchiájában. Ha engedélyezve van, a felhasználónak szüksége van a Microsoft.Management/managementGroups/write
gyökérszintű felügyeleti csoporton végzett műveletre, hogy új gyermekfelügyeleti csoportokat hozzon létre.
Engedélyezés megkövetelése beállítása a portálon
A beállítás Azure Portal való konfigurálásához kövesse az alábbi lépéseket:
A keresősávon keresse meg és válassza a "Felügyeleti csoportok" lehetőséget.
A gyökérszintű felügyeleti csoportban válassza a felügyeleti csoport neve melletti részleteket.
A Beállítások területen válassza a Hierarchia beállításai elemet.
Állítsa be az Engedélyek megkövetelése új felügyeleti csoportok létrehozásához beállítást.
Megjegyzés
Ha az Engedélyek megkövetelése új felügyeleti csoportok létrehozásához. kapcsoló le van tiltva, akkor a megtekintett felügyeleti csoport nem a gyökérszintű felügyeleti csoport, vagy a biztonsági tag nem rendelkezik a hierarchiabeállítások módosításához szükséges engedélyekkel.
Engedélyezés megkövetelése a REST API-val beállítás
Ha ezt a beállítást REST API-val szeretné konfigurálni, a rendszer meghívja a Hierarchiabeállítások végpontot. Ehhez használja az alábbi REST API URI-t és törzsformátumot. Ez az érték egy logikai érték, ezért adjon meg igaz vagy hamis értéket az értékhez. Az igaz érték lehetővé teszi a felügyeleti csoport hierarchiájának védelmét:
REST API URI
PUT https://management.azure.com/providers/Microsoft.Management/managementGroups/{rootMgID}/settings/default?api-version=2020-05-01
Kérelem törzse
{ "properties": { "requireAuthorizationForGroupCreation": true } }
A beállítás kikapcsolásához használja ugyanazt a végpontot, és állítsa a requireAuthorizationForGroupCreation értéket hamis értékre.
PowerShell-minta
A PowerShell nem rendelkezik "Az" paranccsal az alapértelmezett felügyeleti csoport beállításához vagy az engedélyezés megköveteléséhez, de kerülő megoldásként használhatja a REST API-t az alábbi PowerShell-mintával:
$root_management_group_id = "Enter the ID of root management group"
$default_management_group_id = "Enter the ID of default management group (or use the same ID of the root management group)"
$body = '{
"properties": {
"defaultManagementGroup": "/providers/Microsoft.Management/managementGroups/' + $default_management_group_id + '",
"requireAuthorizationForGroupCreation": true
}
}'
$token = (Get-AzAccessToken).Token
$headers = @{"Authorization"= "Bearer $token"; "Content-Type"= "application/json"}
$uri = "https://management.azure.com/providers/Microsoft.Management/managementGroups/$root_management_group_id/settings/default?api-version=2020-05-01"
Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body
Következő lépések
A felügyeleti csoportokkal kapcsolatos további tudnivalókért lásd: