Nem megfelelő erőforrások szervizelése az Azure Policy használatával

Az olyan erőforrások, amelyek nem felelnek meg a szabályzatnakdeployIfNotExists, vagy modify amelyek hatással vannak, a szervizeléssel megfelelő állapotba helyezhetők. A szervizelés olyan szervizelési feladatokon keresztül történik, amelyek üzembe helyezik a deployIfNotExists sablont vagy a modify hozzárendelt szabályzat műveleteit a meglévő erőforrásokon és előfizetéseken, függetlenül attól, hogy a hozzárendelés felügyeleti csoporton, előfizetésen, erőforráscsoporton vagy egyéni erőforráson található. Ez a cikk az Azure Policyval végzett szervizelés megértéséhez és elvégzéséhez szükséges lépéseket mutatja be.

A szervizelés hozzáférés-vezérlésének működése

Amikor az Azure Policy elindít egy sablontelepítést a szabályzatok kiértékelésekordeployIfNotExists, vagy módosítja az erőforrásokat a szabályzatok kiértékelésekormodify, az a szabályzat-hozzárendeléshez társított felügyelt identitás használatával történik. A szabályzat-hozzárendelések felügyelt identitásokat használnak az Azure-erőforrások hitelesítéséhez. Használhatja a szabályzatszolgáltatás által létrehozott rendszer által hozzárendelt felügyelt identitást, vagy a felhasználó által megadott felhasználó által hozzárendelt identitást. A felügyelt identitáshoz hozzá kell rendelni az erőforrások szervizeléséhez szükséges minimális Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) szerepkört. Ha a felügyelt identitásból hiányoznak a szerepkörök, hibaüzenet jelenik meg a portálon, amikor szabályzatot vagy kezdeményezést próbál hozzárendelni. A portál használatakor az Azure Policy automatikusan megadja a felügyelt identitásnak a felsorolt szerepköröket a hozzárendelés megkezdése után. Azure-szoftverfejlesztői készlet (SDK) használatakor a szerepköröket manuálisan kell megadni a felügyelt identitásnak. A felügyelt identitás helye nem befolyásolja az Azure Policyval való működését.

Feljegyzés

A szabályzatdefiníció módosítása nem frissíti automatikusan a hozzárendelést vagy a társított felügyelt identitást.

A szervizelési biztonság a következő lépésekkel konfigurálható:

• A szabályzatdefiníció konfigurálása
• A felügyelt identitás konfigurálása
• Engedélyek megadása a felügyelt identitáshoz meghatározott szerepkörökön keresztül
• Szervizelési feladat létrehozása

A szabályzatdefiníció konfigurálása

Előfeltételként a szabályzatdefiníciónak meg kell határoznia azokat a szerepköröket, amelyek deployIfNotExists modify a belefoglalt sablon tartalmának sikeres üzembe helyezéséhez szükségesek. A beépített szabályzatdefiníciókhoz nincs szükség műveletre, mert ezek a szerepkörök előre vannak töltve. Egyéni szabályzatdefiníciók esetén a details tulajdonság alatt adjon hozzá egy tulajdonságot roleDefinitionIds . Ez a tulajdonság olyan sztringek tömbje, amelyek megfelelnek a környezet szerepköreinek. A teljes példáért lásd : deployIfNotExists vagy modify.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

A roleDefinitionIds tulajdonság a teljes erőforrás-azonosítót használja, és nem veszi el a szerepkört roleName . A közreműködői szerepkör azonosítójának lekéréséhez használja a következő Azure CLI-kódot:

az role definition list --name "Contributor"

Fontos

Az engedélyeket a lehető legkisebbre kell korlátozni, amikor egy szabályzatdefiníción belül definiálják roleDefinitionIds , vagy manuálisan rendelnek engedélyeket egy felügyelt identitáshoz. További ajánlott eljárásokért tekintse meg a felügyelt identitással kapcsolatos ajánlott eljárásokat .

A felügyelt identitás konfigurálása

Minden Azure Policy-hozzárendelés csak egy felügyelt identitáshoz társítható. A felügyelt identitás azonban több szerepkörhöz is hozzárendelhető. A konfiguráció két lépésben történik: először hozzon létre egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást, majd adja meg a szükséges szerepköröket.

Feljegyzés

A felügyelt identitás portálon keresztüli létrehozásakor a szerepkörök automatikusan meg lesznek adva a felügyelt identitásnak. Ha roleDefinitionIds később szerkesztik a szabályzatdefinícióban, az új engedélyeket manuálisan kell megadni, még a portálon is.

A felügyelt identitás létrehozása

Portál

Amikor a portál használatával hoz létre hozzárendelést, az Azure Policy létrehozhat egy rendszer által hozzárendelt felügyelt identitást, és megadhatja a szabályzatdefinícióban roleDefinitionIdsmeghatározott szerepköröket. Másik lehetőségként megadhat egy felhasználó által hozzárendelt felügyelt identitást is, amely ugyanazt a szerepkör-hozzárendelést kapja.

Rendszer által hozzárendelt felügyelt identitás beállítása a portálon:

1. A létrehozási/szerkesztési feladat nézet Szervizelés lapján, a Felügyelt identitástípusok csoportban győződjön meg arról, hogy a rendszer által hozzárendelt felügyelt identitás ki van jelölve.

2. Adja meg a felügyelt identitás helyét.

3. Ne rendeljen hozzá hatókört a rendszer által hozzárendelt felügyelt identitáshoz, mert a hatókör öröklődik a hozzárendelési hatókörből.

Felhasználó által hozzárendelt felügyelt identitás beállítása a portálon:

1. A Hozzárendelés létrehozása/szerkesztése nézet Szervizelés lapján, a Felügyelt identitástípusok csoportban győződjön meg arról, hogy a felhasználó által hozzárendelt felügyelt identitás ki van jelölve.

2. Adja meg a felügyelt identitás üzemeltetett hatókörét. A felügyelt identitás hatókörének nem kell megegyeznie a hozzárendelés hatókörével, de ugyanabban a bérlőben kell lennie.

3. A Meglévő felhasználó által hozzárendelt identitások csoportban válassza ki a felügyelt identitást.

PowerShell

Ha identitást szeretne létrehozni a szabályzat hozzárendelése során, meg kell határozni a helyet, és identitást kell használnia.

Az alábbi példa lekéri a beépített szabályzat , az SQL DB transzparens adattitkosításának definícióját, beállítja a célerőforrás-csoportot, majd létrehozza a hozzárendelést egy rendszer által hozzárendelt felügyelt identitás használatával.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Az alábbi példa beolvasja a beépített szabályzat , az SQL DB transzparens adattitkosításának definícióját, beállítja a célerőforrás-csoportot, majd létrehozza a hozzárendelést egy felhasználó által hozzárendelt felügyelt identitás használatával.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

A $assignment változó mostantól tartalmazza a felügyelt identitás egyszerű azonosítóját, valamint a szabályzat-hozzárendelés létrehozásakor visszaadott standard értékeket. A rendszer által hozzárendelt felügyelt identitásokhoz és $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId a felhasználó által hozzárendelt $assignment.Identity.PrincipalId felügyelt identitásokhoz is elérhető.

Azure CLI

Ha identitást szeretne létrehozni a szabályzat hozzárendelése során, használja az az policy assignment create parancsokat a paraméterekkel--location, --mi-user-assigned--mi-system-assignedés --identity-scope attól függően, hogy a felügyelt identitást rendszerhez vagy felhasználóhoz kell rendelni.

Ha rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást szeretne hozzáadni egy szabályzat-hozzárendeléshez, kövesse az az policy assignment identity assign parancsokat.

Engedélyek megadása a felügyelt identitáshoz meghatározott szerepkörökön keresztül

Fontos

Ha a felügyelt identitás nem rendelkezik a szükséges szervizelési feladat végrehajtásához szükséges engedélyekkel, akkor a rendszer automatikusan csak a portálon keresztül kap engedélyeket. Ezt a lépést kihagyhatja, ha felügyelt identitást hoz létre a portálon keresztül.

Minden más módszer esetében a hozzárendelés felügyelt identitásának manuálisan kell hozzáférést biztosítani a szerepkörök hozzáadásával, különben a szervizelési üzembe helyezés sikertelen lesz.

Manuális engedélyeket igénylő példaforgatókönyvek:

• Ha a hozzárendelés azure-beli szoftverfejlesztői készlettel (SDK) jön létre
• Ha egy erőforrás módosította deployIfNotExists vagy modify kívül esik a szabályzat-hozzárendelés hatókörén
• Ha a sablon a szabályzat-hozzárendelés hatókörén kívüli erőforrások tulajdonságait éri el

Portál

A hozzárendelés felügyelt identitásának kétféleképpen adható meg a definiált szerepkörök a portálon: a Hozzáférés-vezérlés (IAM) használatával, vagy a szabályzat vagy kezdeményezés hozzárendelésének szerkesztésével és a Mentés gombra kattintva.

Ha szerepkört szeretne hozzáadni a hozzárendelés felügyelt identitásához, kövesse az alábbi lépéseket:

1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

2. Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán.

3. Keresse meg a felügyelt identitással rendelkező hozzárendelést, és válassza ki a nevet.

4. Keresse meg a Feladatazonosító tulajdonságot a szerkesztési lapon. A hozzárendelés azonosítója a következő példához hasonlóan néz ki:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   A felügyelt identitás neve a hozzárendelési erőforrás-azonosító utolsó része, amely ebben a példában szerepel 2802056bfc094dfb95d4d7a5 . Másolja ki a hozzárendelési erőforrás-azonosító ezen részét.

5. Keresse meg azt az erőforrást vagy az erőforrás szülőtárolóját (erőforráscsoport, előfizetés, felügyeleti csoport), amelyet manuálisan kell hozzáadni a szerepkör-definícióhoz.

6. Válassza a Hozzáférés-vezérlés (IAM) hivatkozást az erőforrások lapon, majd válassza a + Szerepkör-hozzárendelés hozzáadása lehetőséget a hozzáférés-vezérlési oldal tetején.

7. Válassza ki a szabályzatdefiníció egyikének megfelelő szerepkört roleDefinitionIds . Hagyja meg a Hozzáférés hozzárendelése lehetőséget a "felhasználó, csoport vagy alkalmazás" alapértelmezett beállításához. A Kijelölés mezőbe illessze be vagy írja be a hozzárendelési erőforrás-azonosító korábban található részét. Ha a keresés befejeződött, válassza ki az azonos nevű objektumot az azonosító kiválasztásához, majd a Mentés gombra.

PowerShell

Az új felügyelt identitásnak a Szükséges szerepkörök megadása előtt végre kell hajtania a replikációt a Microsoft Entra-azonosítón keresztül. A replikáció befejezése után az alábbi példák iterálják a szabályzatdefiníciót $policyDef a roleDefinitionIds New-AzRoleAssignment használatával, hogy az új felügyelt identitásnak szerepköröket adjanak.

Az első példa bemutatja, hogyan adhat szerepköröket a szabályzat hatókörében. A második példa bemutatja, hogyan adhat szerepköröket a kezdeményezés (szabályzatkészlet) hatókörében.

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Az új felügyelt identitásnak a Szükséges szerepkörök megadása előtt végre kell hajtania a replikációt a Microsoft Entra-azonosítón keresztül. A replikáció befejezése után a szabályzatdefinícióban roleDefinitionIds megadott szerepköröket meg kell adni a felügyelt identitásnak.

Az az policy definition show paranccsal érheti el a szabályzatdefinícióban megadott szerepköröket, majd iteráljon át mindegyiken roleDefinitionIds a szerepkör-hozzárendelés létrehozásához az az role assignment create paranccsal.

Szervizelési feladat létrehozása

Portál

Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

1. lépés: Javítási feladat létrehozásának kezdeményezése

A szervizelési feladatokat három módon hozhatja létre a portálon keresztül.

1. lehetőség: Szervizelési feladat létrehozása a Szervizelési oldalról

1. Válassza a Szervizelés lehetőséget az Azure Policy oldal bal oldalán.

   

2. A Szervizelendő szabályzatok lapon az összes deployIfNotExists és modify a szabályzat-hozzárendelés látható. Az Új szervizelési feladat lap megnyitásához válassza ki azokat az erőforrásokat, amelyek nem megfelelőek.

3. Kövesse a lépéseket a szervizelési feladat részleteinek megadásához.

2. lehetőség: Szervizelési feladat létrehozása nem megfelelő szabályzat-hozzárendelésből

1. Válassza a Megfelelőség lehetőséget az Azure Policy oldal bal oldalán.

2. Válasszon ki egy nem megfelelő szabályzatot vagy kezdeményezési hozzárendelést, amely deployIfNotExists tartalmaz vagy modify effektusokat tartalmaz.

3. Az Új szervizelési feladat lap megnyitásához kattintson a lap tetején található Szervizelési feladat létrehozása gombra.

4. Kövesse a lépéseket a szervizelési feladat részleteinek megadásához.

3. lehetőség: Szervizelési feladat létrehozása szabályzat-hozzárendelés során

Ha a hozzárendelni kívánt szabályzat- vagy kezdeményezésdefiníciónak van deployIfNotExists hatása vagy modify hatása van, a varázsló Szervizelés lapján megjelenik a Szervizelési tevékenység létrehozása lehetőség, amely a szabályzat-hozzárendeléssel egy időben hoz létre szervizelési feladatot.

Feljegyzés

Ez a leggördülékenyebb módszer a szervizelési feladatok létrehozásához, és az előfizetéshez rendelt szabályzatok esetében támogatott. A felügyeleti csoporthoz rendelt szabályzatok esetében a szervizelési feladatokat az 1. vagy a 2. lehetőség használatával kell létrehozni, miután a kiértékelés megállapította az erőforrás-megfelelőséget.

1. A portál hozzárendelési varázslójában lépjen a Szervizelés lapra. Jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet.

2. Ha a szervizelési feladat kezdeményezési hozzárendelésből indul ki, válassza ki a legördülő menüből a szervizelendő szabályzatot.

3. Konfigurálja a felügyelt identitást , és töltse ki a varázsló többi részét. A szervizelési tevékenység a hozzárendelés létrehozásakor jön létre.

2. lépés: A szervizelési tevékenység részleteinek megadása

Ez a lépés csak akkor alkalmazható, ha az 1. vagy a 2. lehetőséggel kezdeményezi a javítási feladat létrehozását.

1. Ha a szervizelési feladat kezdeményezési hozzárendelésből indul ki, válassza ki a legördülő menüből a szervizelendő szabályzatot. Egy deployIfNotExists vagy modify egy szabályzat egyszerre egyetlen szervizelési feladattal orvosolható.

2. Igény szerint módosítsa a javítási beállításokat a lapon. Az egyes beállításvezérlőkről további információt a szervizelési feladat struktúrája tartalmaz.

3. Ugyanazon a lapon szűrje a szervizeléshez szükséges erőforrásokat a Hatókör három pontjának használatával, hogy gyermekerőforrásokat válasszon ki a házirend hozzárendelési helyén (beleértve az egyes erőforrás-objektumokra vonatkozókat is). Emellett a Helyek legördülő listával tovább szűrheti az erőforrásokat.

   

4. Az erőforrások szűrése után kezdje el a szervizelési feladatot a Szervizelés gombra kattintva. A szabályzatmegfelelés lap megnyílik a Szervizelési feladatok lapra, amely megjeleníti a tevékenységek állapotát. A szervizelési feladat által létrehozott üzembe helyezések azonnal elkezdődik.

   

3. lépés: A szervizelési tevékenység előrehaladásának nyomon követése

1. Lépjen a Szervizelési lap Szervizelési feladatok lapjára. Válasszon ki egy szervizelési feladatot a használt szűrés részleteinek, az aktuális állapotnak és a szervizelt erőforrások listájának megtekintéséhez.

2. A Szervizelési tevékenység részletei lapon kattintson a jobb gombbal egy erőforrásra a szervizelési tevékenység üzembe helyezésének vagy az erőforrásnak a megtekintéséhez. A sor végén válassza a Kapcsolódó események lehetőséget a részletek, például egy hibaüzenet megtekintéséhez.

   

A szervizelési tevékenységen keresztül üzembe helyezett erőforrások a szabályzat-hozzárendelés részleteinek lapján az Üzembe helyezett erőforrások lapra kerülnek.

PowerShell

Ha szervizelési feladatot szeretne létrehozni az Azure PowerShell-lel, használja a Start-AzPolicyRemediation parancsokat. Cserélje le {subscriptionId} az előfizetés azonosítóját és {myAssignmentId} a deployIfNotExists modify szabályzat-hozzárendelés azonosítóját.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

A szervizelési beállításokat az alábbi választható paraméterekkel is módosíthatja:

• -FailureThreshold – Annak meghatározására szolgál, hogy a szervizelési tevékenység meghiúsuljon-e, ha a hibák százalékos aránya meghaladja a megadott küszöbértéket. 0 és 100 közötti számként van megadva. Alapértelmezés szerint a hiba küszöbértéke 100%.
• -ResourceCount – Meghatározza, hogy hány nem megfelelő erőforrást kell szervizelni egy adott szervizelési feladatban. Az alapértelmezett érték 500 (az előző korlát). A maximális szám 50 000 erőforrás.
• -ParallelDeploymentCount – Meghatározza, hogy hány erőforrást kell egyszerre szervizelni. Az engedélyezett értékek egyszerre 1–30 erőforrást tartalmaznak. Az alapértelmezett érték 10.

További szervizelési parancsmagok és példák az Az.PolicyInsights modulban találhatók.

Azure CLI

Ha szervizelési feladatot szeretne létrehozni az Azure CLI-vel, használja a az policy remediation parancsokat. Cserélje le {subscriptionId} az előfizetés azonosítóját és {myAssignmentId} a deployIfNotExists modify szabályzat-hozzárendelés azonosítóját.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

További szervizelési parancsokat és példákat az az policy szervizelési parancsokban talál.

Következő lépések

• Tekintse át az Azure Policy-minták példáit.
• Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
• A Szabályzatok hatásainak ismertetése.
• Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
• Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
• Tekintse át, hogy mi az a felügyeleti csoport az erőforrások azure-beli felügyeleti csoportokkal való rendszerezésével.