Delegált előfizetésen belül szervizelhető szabályzat üzembe helyezése
Az Azure Lighthouse lehetővé teszi a szolgáltatók számára a szabályzatdefiníciók delegált előfizetésen belüli létrehozását és szerkesztését. A szervizelési feladatot használó szabályzatok (azaz a deployIfNotExists vagy a módosítási effektussal rendelkező szabályzatok) üzembe helyezéséhez létre kell hoznia egy felügyelt identitást az ügyfélbérlésben. Ezt a felügyelt identitást az Azure Policy használhatja a sablon szabályzaton belüli üzembe helyezéséhez. Ez a cikk azokat a lépéseket ismerteti, amelyek szükségesek a forgatókönyv engedélyezéséhez, mind az ügyfél Azure Lighthouse-hoz való előkészítésekor, mind a szabályzat üzembe helyezésekor.
Tipp.
Bár ebben a témakörben szolgáltatókra és ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják .
Olyan felhasználó létrehozása, aki szerepköröket rendelhet egy felügyelt identitáshoz az ügyfélbérlében
Amikor egy ügyfelet felvesz az Azure Lighthouse-ba, olyan engedélyeket határoz meg, amelyek hozzáférést biztosítanak a delegált erőforrásokhoz az ügyfélbérlőben. Minden engedélyezés egy olyan principalId azonosítót ad meg, amely megfelel egy Microsoft Entra-felhasználónak, csoportnak vagy szolgáltatásnévnek a kezelő bérlőben, valamint egy roleDefinitionId azonosítót, amely megfelel a megadott Azure beépített szerepkörnek.
Ahhoz, hogy egy principalId szerepköröket rendelhessen egy felügyelt identitáshoz az ügyfélbérlésben, be kell állítania a roleDefinitionId szerepkört a felhasználói hozzáférés rendszergazdájának. Bár ez a szerepkör általában nem támogatott az Azure Lighthouse-ban, ebben a konkrét forgatókönyvben is használható. Ha ezt a szerepkört megadja ennek a principalId-nek , akkor adott beépített szerepköröket rendelhet hozzá a felügyelt identitásokhoz. Ezek a szerepkörök a delegáltRoleDefinitionIds tulajdonságban vannak definiálva, és bármilyen támogatott Beépített Azure-szerepkört tartalmazhatnak, kivéve a felhasználói hozzáférés rendszergazdáját vagy tulajdonosát.
Az ügyfél előkészítése után az ebben az engedélyezésben létrehozott principalId képes lesz ezeket a beépített szerepköröket hozzárendelni az ügyfélbérbeadó felügyelt identitásaihoz. A felhasználói hozzáférés-rendszergazdai szerepkörhöz általában társított egyéb engedélyek nem lesznek.
Feljegyzés
A bérlők szerepkör-hozzárendeléseit jelenleg API-kkal kell elvégezni, nem az Azure Portalon.
Ez a példa egy principalId azonosítót mutat be a Felhasználói hozzáférés rendszergazdája szerepkörrel. Ez a felhasználó két beépített szerepkört rendelhet hozzá az ügyfélbérlelő felügyelt identitásaihoz: Közreműködő és Log Analytics-közreműködő.
{
"principalId": "3kl47fff-5655-4779-b726-2cf02b05c7c4",
"principalIdDisplayName": "Policy Automation Account",
"roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"delegatedRoleDefinitionIds": [
"b24988ac-6180-42a0-ab88-20f7382dd24c",
"92aaf0da-9dab-42b6-94a3-d43ce8d16293"
]
}
Szervizelhető szabályzatok üzembe helyezése
Miután létrehozta a felhasználót a szükséges engedélyekkel, a felhasználó üzembe helyezhet olyan szabályzatokat, amelyek szervizelési feladatokat használnak a delegált ügyfél-előfizetésekben.
Tegyük fel például, hogy engedélyezni szeretné a diagnosztikát az Azure Key Vault-erőforrásokon az ügyfélbérlében, ahogyan az ebben a példában is látható. A megfelelő engedélyekkel rendelkező bérlő egyik felhasználója (a fent leírtak szerint) üzembe helyezne egy Azure Resource Manager-sablont a forgatókönyv engedélyezéséhez.
A delegált előfizetéshez használandó szabályzat-hozzárendelést jelenleg api-kkal kell létrehozni, nem az Azure Portalon. Ha így tesz, az apiVersion-nak 2019-04-01-preview vagy újabb verzióra kell állítania, hogy tartalmazza az új delegáltManagedIdentityResourceId tulajdonságot. Ez a tulajdonság lehetővé teszi egy felügyelt identitás hozzáadását, amely az ügyfélbérlőben (az Azure Lighthouse-ba előkészített előfizetésben vagy erőforráscsoportban) található.
Az alábbi példa egy szerepkör-hozzárendelést mutat be egy delegáltManagedIdentityResourceId azonosítóval.
"type": "Microsoft.Authorization/roleAssignments",
"apiVersion": "2019-04-01-preview",
"name": "[parameters('rbacGuid')]",
"dependsOn": [
"[variables('policyAssignment')]"
],
"properties": {
"roleDefinitionId": "[concat(subscription().id, '/providers/Microsoft.Authorization/roleDefinitions/', variables('rbacContributor'))]",
"principalType": "ServicePrincipal",
"delegatedManagedIdentityResourceId": "[concat(subscription().id, '/providers/Microsoft.Authorization/policyAssignments/', variables('policyAssignment'))]",
"principalId": "[toLower(reference(concat('/providers/Microsoft.Authorization/policyAssignments/', variables('policyAssignment')), '2018-05-01', 'Full' ).identity.principalId)]"
}
Tipp.
Hasonló minta áll rendelkezésre, amely bemutatja, hogyan helyezhet üzembe olyan szabályzatokat, amelyek címkét adnak hozzá vagy távolítanak el (a módosítási effektus használatával) egy delegált előfizetéshez.
Következő lépések
- További információ az Azure Policyról.
- Ismerje meg az Azure-erőforrások felügyelt identitását.