Delegált előfizetésen belül szervizelhető szabályzat üzembe helyezése

  • Cikk

Az Azure Lighthouse lehetővé teszi a szolgáltatók számára a szabályzatdefiníciók delegált előfizetésen belüli létrehozását és szerkesztését. A szervizelési feladatot használó szabályzatok (azaz a deployIfNotExists vagy a módosítási effektussal rendelkező szabályzatok) üzembe helyezéséhez létre kell hoznia egy felügyelt identitást az ügyfélbérlésben. Ezt a felügyelt identitást az Azure Policy használhatja a sablon szabályzaton belüli üzembe helyezéséhez. Ez a cikk azokat a lépéseket ismerteti, amelyek szükségesek a forgatókönyv engedélyezéséhez, mind az ügyfél Azure Lighthouse-hoz való előkészítésekor, mind a szabályzat üzembe helyezésekor.

Tipp.

Bár ebben a témakörben szolgáltatókra és ügyfelekre hivatkozunk, a több bérlőt kezelő vállalatok ugyanazokat a folyamatokat használhatják .

Olyan felhasználó létrehozása, aki szerepköröket rendelhet egy felügyelt identitáshoz az ügyfélbérlében

Amikor egy ügyfelet felvesz az Azure Lighthouse-ba, olyan engedélyeket határoz meg, amelyek hozzáférést biztosítanak a delegált erőforrásokhoz az ügyfélbérlőben. Minden engedélyezés egy olyan principalId azonosítót ad meg, amely megfelel egy Microsoft Entra-felhasználónak, csoportnak vagy szolgáltatásnévnek a kezelő bérlőben, valamint egy roleDefinitionId azonosítót, amely megfelel a megadott Azure beépített szerepkörnek.

Ahhoz, hogy egy principalId szerepköröket rendelhessen egy felügyelt identitáshoz az ügyfélbérlőben, be kell állítania a roleDefinitionId szerepkört a Felhasználói hozzáférés Rendszergazda istratorra. Bár ez a szerepkör általában nem támogatott az Azure Lighthouse-ban, ebben a konkrét forgatókönyvben is használható. Ha ezt a szerepkört megadja ennek a principalId-nek , akkor adott beépített szerepköröket rendelhet hozzá a felügyelt identitásokhoz. Ezek a szerepkörök a delegáltRoleDefinitionIds tulajdonságban vannak definiálva, és a felhasználói hozzáférés Rendszergazda istrator vagy tulajdonos kivételével bármilyen támogatott Beépített Azure-szerepkört tartalmazhatnak.

Az ügyfél előkészítése után az ebben az engedélyezésben létrehozott principalId képes lesz ezeket a beépített szerepköröket hozzárendelni az ügyfélbérbeadó felügyelt identitásaihoz. A felhasználói hozzáférés Rendszergazda istrator szerepkörhöz általában nem lesz más engedély társítva.

Megjegyzés:

A bérlők szerepkör-hozzárendeléseit jelenleg API-kkal kell elvégezni, nem az Azure Portalon.

Az alábbi példa egy principalId azonosítót mutat be, amely felhasználói hozzáférési Rendszergazda istrator szerepkörrel fog rendelkezni. Ez a felhasználó két beépített szerepkört rendelhet hozzá az ügyfélbérlelő felügyelt identitásaihoz: Közreműködő és Log Analytics-közreműködő.

{
    "principalId": "3kl47fff-5655-4779-b726-2cf02b05c7c4",
    "principalIdDisplayName": "Policy Automation Account",
    "roleDefinitionId": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
    "delegatedRoleDefinitionIds": [
         "b24988ac-6180-42a0-ab88-20f7382dd24c",
         "92aaf0da-9dab-42b6-94a3-d43ce8d16293"
    ]
}

Szervizelhető szabályzatok üzembe helyezése

Miután létrehozta a felhasználót a fent leírtak szerint szükséges engedélyekkel, a felhasználó üzembe helyezhet olyan szabályzatokat, amelyek szervizelési feladatokat használnak a delegált ügyfél-előfizetésekben.

Tegyük fel például, hogy engedélyezni szeretné a diagnosztikát az Azure Key Vault-erőforrásokon az ügyfélbérlében, ahogyan az ebben a példában is látható. A megfelelő engedélyekkel rendelkező bérlő egyik felhasználója (a fent leírtak szerint) üzembe helyezne egy Azure Resource Manager-sablont a forgatókönyv engedélyezéséhez.

A delegált előfizetéshez használandó szabályzat-hozzárendelést jelenleg api-kkal kell létrehozni, nem az Azure Portalon. Ha így tesz, az apiVersion-nak 2019-04-01-preview vagy újabb verzióra kell állítania, hogy tartalmazza az új delegáltManagedIdentityResourceId tulajdonságot. Ez a tulajdonság lehetővé teszi egy felügyelt identitás hozzáadását, amely az ügyfélbérlőben (az Azure Lighthouse-ba előkészített előfizetésben vagy erőforráscsoportban) található.

Az alábbi példa egy szerepkör-hozzárendelést mutat be egy delegáltManagedIdentityResourceId azonosítóval.

"type": "Microsoft.Authorization/roleAssignments",
            "apiVersion": "2019-04-01-preview",
            "name": "[parameters('rbacGuid')]",
            "dependsOn": [
                "[variables('policyAssignment')]"
            ],
            "properties": {
                "roleDefinitionId": "[concat(subscription().id, '/providers/Microsoft.Authorization/roleDefinitions/', variables('rbacContributor'))]",
                "principalType": "ServicePrincipal",
                "delegatedManagedIdentityResourceId": "[concat(subscription().id, '/providers/Microsoft.Authorization/policyAssignments/', variables('policyAssignment'))]",
                "principalId": "[toLower(reference(concat('/providers/Microsoft.Authorization/policyAssignments/', variables('policyAssignment')), '2018-05-01', 'Full' ).identity.principalId)]"
            }

Tipp.

Hasonló minta áll rendelkezésre, amely bemutatja, hogyan helyezhet üzembe olyan szabályzatokat, amelyek címkét adnak hozzá vagy távolítanak el (a módosítási effektus használatával) egy delegált előfizetéshez.

Következő lépések

  • További információ az Azure Policyról.
  • Ismerje meg az Azure-erőforrások felügyelt identitását.