Remediasi sumber daya yang tidak mematuhi Azure Policy

Sumber daya yang tidak sesuai dengan kebijakan dengan deployIfNotExists atau modify efek dapat dimasukkan ke dalam status yang sesuai melalui Remediasi. Remediasi dilakukan melalui tugas remediasi yang menyebarkan deployIfNotExists templat atau modify operasi kebijakan yang ditetapkan pada sumber daya dan langganan yang ada, baik tugas tersebut berada di grup manajemen, langganan, grup sumber daya, atau sumber daya individual. Artikel ini memperlihatkan langkah-langkah yang diperlukan untuk memahami dan menyelesaikan remediasi dengan Azure Policy.

Bagaimana kontrol akses remediasi bekerja

Saat Azure Policy memulai penyebaran templat saat mengevaluasi deployIfNotExists kebijakan atau memodifikasi sumber daya saat mengevaluasi modify kebijakan, azure Policy melakukannya menggunakan identitas terkelola yang terkait dengan penetapan kebijakan. Perhatikan bahwa meskipun identitas penugasan digunakan untuk penyebaran atau modifikasi sumber daya, identitas tersebut tidak digunakan untuk evaluasi definisi kebijakan dan kondisi keberadaannya. Evaluasi kebijakan menggunakan identitas pemanggil yang memulai permintaan API.

Penetapan kebijakan menggunakan identitas terkelola untuk otorisasi sumber daya Azure selama remediasi. Anda dapat menggunakan identitas terkelola yang ditetapkan sistem yang dibuat oleh layanan kebijakan atau identitas yang ditetapkan pengguna yang disediakan oleh pengguna. Identitas terkelola perlu diberikan peran kontrol akses berbasis peran Azure (Azure RBAC) minimum yang diperlukan untuk memperbaiki sumber daya. Jika identitas terkelola tidak memiliki peran, kesalahan akan muncul di portal saat penetapan kebijakan atau inisiatif berlangsung. Ketika Anda menggunakan portal, Azure Policy secara otomatis memberikan identitas terkelola peran-peran yang tercantum segera setelah penetapan dimulai. Saat Anda menggunakan kit pengembangan perangkat lunak Azure (SDK), peran harus diberikan secara manual ke identitas terkelola. Lokasi identitas terkelola tidak memengaruhi operasinya dengan Azure Policy.

Catatan

Mengubah definisi kebijakan tidak secara otomatis memperbarui penetapan atau identitas terkelola terkait.

Keamanan remediasi dapat dikonfigurasi melalui langkah-langkah berikut:

• Mengonfigurasi definisi kebijakan
• Mengonfigurasi identitas terkelola
• Memberikan izin ke identitas terkelola melalui peran yang ditentukan
• Membuat tugas remediasi

Mengonfigurasi definisi kebijakan

Sebagai prasyarat, definisi kebijakan harus menentukan peran yang deployIfNotExists dan modify perlu untuk dapat berhasil menyebarkan konten dari templat yang disertakan. Tidak ada tindakan yang diperlukan untuk definisi kebijakan bawaan karena peran ini sudah diisi sebelumnya. Untuk definisi kebijakan kustom, di bawah properti details, tambahkan properti roleDefinitionIds. Properti ini adalah sekumpulan string yang sesuai dengan peran di lingkungan Anda. Untuk contoh lengkapnya, lihat deployIfNotExists atau modifikasi.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

Properti roleDefinitionIds menggunakan pengenal sumber daya lengkap dan tidak menggunakan singkatan roleName peran. Untuk mendapatkan ID untuk peran Kontributor di lingkungan Anda, gunakan kode Azure CLI berikut:

az role definition list --name "Contributor"

Penting

Izin harus dibatasi untuk set sekecil mungkin saat menentukan roleDefinitionIds dalam definisi kebijakan atau menetapkan izin ke identitas terkelola secara manual. Lihat rekomendasi praktik terbaik identitas terkelola untuk praktik terbaik lainnya.

Mengonfigurasi identitas terkelola

Setiap penugasan Azure Policy hanya dapat dikaitkan dengan satu identitas terkelola. Namun, identitas terkelola dapat diberi beberapa peran. Konfigurasi dapat dilakukan dalam dua langkah: pertama buat identitas terkelola yang ditetapkan sistem atau yang ditetapkan pengguna, lalu berikan peran yang diperlukan.

Catatan

Saat membuat identitas terkelola melalui portal, peran akan diberikan secara otomatis ke identitas terkelola. Jika roleDefinitionIds nanti diedit dalam definisi kebijakan, izin baru harus diberikan secara manual, bahkan di portal.

Buat identitas terkelola

Portal

Saat Anda membuat penugasan menggunakan portal, Azure Policy dapat menghasilkan identitas terkelola yang ditetapkan sistem dan memberinya peran yang ditentukan dalam definisi roleDefinitionIdskebijakan . Atau, Anda dapat menentukan identitas terkelola yang ditetapkan pengguna yang menerima penetapan peran yang sama.

Untuk mengatur identitas terkelola yang ditetapkan sistem di portal:

1. Pada tab Remediasi tampilan buat/edit penugasan, di bagian Jenis Identitas Terkelola, pastikan Identitas terkelola yang ditetapkan sistem dipilih.

2. Tentukan lokasi tempat identitas terkelola akan diletakkan.

3. Jangan tetapkan cakupan untuk identitas terkelola yang ditetapkan sistem karena cakupan diwariskan dari cakupan penugasan.

Untuk mengatur identitas terkelola yang ditetapkan pengguna di portal:

1. Pada tab Remediasi tampilan buat/edit penugasan, di bagian Jenis Identitas Terkelola, pastikan Identitas terkelola yang ditetapkan pengguna dipilih.

2. Tentukan cakupan tempat identitas terkelola di-hosting. Cakupan identitas terkelola tidak harus sama dengan cakupan penugasan, tetapi harus berada di penyewa yang sama.

3. Di bagian Identitas yang ditetapkan pengguna yang ada, pilih identitas terkelola.

PowerShell

Untuk membuat identitas selama penugasan kebijakan, Lokasi harus ditentukan dan Identitas digunakan.

Contoh berikut mendapatkan definisi kebijakan bawaan Menyebarkan enkripsi data transparan SQL DB, mengatur grup sumber daya target, lalu membuat penugasan menggunakan identitas terkelola yang ditetapkan sistem.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Contoh berikut mendapatkan definisi kebijakan bawaan Enkripsi Data Transparan pada Penggelaran SQL DB, menetapkan grup sumber daya target, lalu membuat penugasan menggunakan identitas terkelola yang ditentukan oleh pengguna.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

$assignment Variabel sekarang berisi ID utama identitas terkelola bersama dengan nilai standar yang dikembalikan saat membuat penetapan kebijakan. Ini dapat diakses melalui $assignment.Identity.PrincipalId identitas terkelola yang ditetapkan sistem dan $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId untuk identitas terkelola yang ditetapkan pengguna.

Azure CLI

Untuk membuat identitas selama penetapan kebijakan, gunakan perintah az policy assignment create dengan parameter --location, , --mi-system-assigned--mi-user-assigned, dan --identity-scope tergantung pada apakah identitas terkelola harus ditetapkan sistem atau ditetapkan pengguna.

Untuk menambahkan identitas yang ditetapkan sistem atau identitas yang ditetapkan pengguna ke penetapan kebijakan, ikuti contoh perintah az policy assignment identity assign.

Memberikan izin pada identitas terkelola melalui peran yang telah ditentukan

Penting

Jika identitas terkelola tidak memiliki izin yang diperlukan untuk menjalankan tugas remediasi yang diperlukan, identitas terkelola tersebut akan diberikan izin secara otomatis hanya melalui portal. Anda dapat melewati langkah ini jika membuat identitas terkelola melalui portal.

Untuk semua metode lain, identitas terkelola tugas harus diberikan akses secara manual melalui penambahan peran, atau penyebaran remediasi akan gagal.

Contoh skenario yang memerlukan izin manual:

• Jika penugasan dibuat melalui sebuah kit pengembangan perangkat lunak Azure (SDK)
• Jika sumber daya dimodifikasi oleh deployIfNotExists atau modify berada di luar cakupan penetapan kebijakan
• Jika templat mengakses properti pada sumber daya di luar lingkup penugasan kebijakan

Portal

Ada dua cara untuk memberikan identitas terkelola untuk penugasan dengan peran yang telah ditentukan menggunakan portal: dengan menggunakan Kontrol akses (IAM) atau dengan mengedit penugasan kebijakan atau inisiatif dan memilih Simpan.

Untuk menambahkan peran ke identitas terkelola tugas, ikuti langkah-langkah berikut:

1. Luncurkan layanan Azure Policy di portal Microsoft Azure dengan memilih Semua layanan, lalu cari dan pilih Kebijakan.

2. Pilih Penugasan di sisi kiri halaman Azure Policy.

3. Temukan tugas yang memiliki identitas terkelola dan pilih nama.

4. Temukan properti Assignment ID di halaman edit. ID penugasan terlihat seperti contoh berikut:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Nama identitas terkelola adalah bagian terakhir dari ID sumber daya penugasan, yang ada 2802056bfc094dfb95d4d7a5 dalam contoh ini. Salin bagian ID sumber daya penugasan ini.

5. Navigasi ke sumber daya atau wadah induk sumber daya (grup sumber daya, langganan, grup manajemen) yang memerlukan definisi peran ditambahkan secara manual.

6. Pilih link Kontrol akses (IAM) di halaman sumber daya lalu pilih + Tambahkan penetapan peran di bagian atas halaman kontrol akses.

7. Pilih peran yang sesuai yang cocok dengan roleDefinitionIds definisi kebijakan. Biarkan Tetapkan akses untuk dibiarkan pada default 'pengguna, grup, atau aplikasi'. Dalam kotak Pilih, tempelkan atau ketik bagian ID sumber daya penugasan yang terletak sebelumnya. Setelah pencarian selesai, pilih objek dengan nama yang sama untuk memilih ID dan pilih Simpan.

PowerShell

Identitas terkelola baru harus menyelesaikan replikasi melalui ID Microsoft Entra sebelum dapat diberikan peran yang diperlukan. Setelah replikasi selesai, contoh berikut melakukan iterasi pada definisi kebijakan di $policyDef untuk roleDefinitionIds dan menggunakan New-AzRoleAssignment untuk memberikan peran kepada identitas terkelola baru.

Secara khusus, contoh pertama memperlihatkan kepada Anda cara memberikan peran pada cakupan kebijakan. Contoh kedua menunjukkan cara memberikan peran pada cakupan inisiatif (set kebijakan).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Identitas terkelola baru harus menyelesaikan replikasi melalui ID Microsoft Entra sebelum dapat diberikan peran yang diperlukan. Setelah replikasi selesai, peran yang ditentukan dalam definisi roleDefinitionIds kebijakan harus diberikan ke identitas terkelola.

Akses peran yang ditentukan dalam definisi kebijakan menggunakan perintah az policy definition show, lalu lalui setiap roleDefinitionIds untuk membuat penetapan peran menggunakan perintah az role assignment create.

Buat tugas remediasi

Portal

Luncurkan layanan Azure Policy di portal Microsoft Azure dengan memilih Semua layanan, lalu cari dan pilih Kebijakan.

Langkah 1: Memulai penyusunan tugas remediasi

Ada tiga cara untuk membuat tugas remediasi melalui portal.

Opsi 1: Buat tugas remediasi dari halaman Remediasi

1. Pilih Remediasi di sisi kiri halaman Azure Policy.

   

2. Semua penugasan kebijakan deployIfNotExists dan modify ditampilkan pada tab Kebijakan untuk diremediasi. Pilih satu dengan sumber daya yang tidak patuh untuk membuka halaman Tugas remediasi baru.

3. Ikuti langkah-langkah untuk menentukan detail tugas remediasi.

Opsi 2: Buat tugas remediasi dari penetapan kebijakan yang tidak sesuai

1. Pilih Kepatuhan di sisi kiri halaman Azure Policy.

2. Pilih kebijakan atau tugas inisiatif yang tidak sesuai yang mengandung dampaknya deployIfNotExists atau modify.

3. Pilih tombol Buat Tugas Remediasi di bagian atas halaman untuk membuka halaman Tugas remediasi baru.

4. Ikuti langkah-langkah untuk menentukan detail tugas remediasi.

Opsi 3: Buat tugas remediasi selama penetapan kebijakan

Jika definisi kebijakan atau inisiatif yang ditugaskan memiliki efek deployIfNotExists atau modify, tab Remediasi pada wizard menawarkan opsi Buat tugas remediasi, yang akan membuat tugas remediasi pada saat yang sama dengan penetapan kebijakan.

Catatan

Ini adalah pendekatan yang paling ringkas untuk membuat tugas remediasi dan didukung untuk kebijakan yang ditetapkan pada langganan. Untuk kebijakan yang ditetapkan pada grup manajemen, tugas remediasi harus dibuat menggunakan Opsi 1 atau Opsi 2 setelah evaluasi menentukan kepatuhan sumber daya.

1. Dari wizard tugas di portal, navigasikan ke tab Remediasi. Pilih kotak centang untuk Buat tugas remediasi.

2. Jika tugas remediasi dimulai dari penugasan inisiatif, pilih kebijakan untuk remediasi dari daftar tarik-turun.

3. Konfigurasi identitas terkelola dan selesaikan pengisian bagian wizard yang tersisa. Tugas remediasi dibuat saat penugasan dibuat.

Langkah 2: Tentukan detail tugas remediasi

Langkah ini hanya berlaku saat menggunakan Opsi 1 atau Opsi 2 untuk memulai penyusunan tugas remediasi.

1. Jika tugas remediasi dimulai dari penugasan inisiatif, pilih kebijakan untuk remediasi dari daftar tarik-turun. Satu deployIfNotExists atau modify kebijakan dapat diperbaiki melalui satu tugas Remediasi sekaligus.

2. Secara opsional ubah pengaturan remediasi pada halaman. Untuk informasi tentang apa yang dikontrol setiap pengaturan, lihat struktur tugas remediasi.

3. Di halaman yang sama, filter sumber daya yang akan diperbaiki dengan menggunakan elipsis Cakupan untuk memilih sumber daya anak dari tempat kebijakan ditetapkan (termasuk sampai ke objek sumber daya individu). Selain itu, gunakan daftar turun bawah Lokasi untuk memfilter sumber daya lebih lanjut.

   

4. Mulai tugas remediasi setelah sumber daya difilter dengan memilih Remediasi. Halaman kepatuhan kebijakan terbuka ke tab Tugas remediasi untuk memperlihatkan status kemajuan tugas. Penyebaran yang dihasilkan dari tugas remediasi segera dimulai.

   

Langkah 3: Lacak progres tugas remediasi

1. Navigasikan ke tab Tugas remediasi pada halaman Remediasi. Pilih tugas remediasi untuk melihat detail tentang pemfilteran yang digunakan, status saat ini, dan daftar sumber daya yang sedang diperbaiki.

2. Dari halaman detail Tugas remediasi, klik kanan pada sumber daya untuk melihat penerapan tugas remediasi ataupun sumber daya. Di akhir baris, pilih Peristiwa terkait untuk melihat detail seperti pesan kesalahan.

   

Sumber daya yang diterapkan melalui tugas remediasi ditambahkan ke tab Sumber Daya yang Diterapkan pada halaman detail penetapan kebijakan.

PowerShell

Untuk membuat tugas remediasi dengan Azure PowerShell, gunakan Start-AzPolicyRemediation perintah. Ganti {subscriptionId} dengan ID langganan Anda dan {myAssignmentId} atau deployIfNotExists dengan ID penetapan kebijakan.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemediation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Anda juga dapat memilih untuk menyesuaikan pengaturan remediasi melalui parameter opsional ini:

• -FailureThreshold - Digunakan untuk menentukan apakah tugas remediasi harus gagal jika persentase kegagalan melebihi ambang yang diberikan. Disediakan sebagai angka antara 0 hingga 100. Secara default, ambang kegagalan adalah 100%.
• -ResourceCount - Menentukan berapa banyak sumber daya yang tidak sesuai untuk diperbaiki dalam tugas remediasi tertentu. Nilai defaultnya adalah 500 (batas sebelumnya). Jumlah maksimumnya adalah 50.000 sumber daya.
• -ParallelDeploymentCount - Menentukan berapa banyak sumber daya yang akan diperbaiki pada saat yang sama. Nilai yang diizinkan adalah 1 hingga 30 sumber daya sekaligus. Nilai defaultnya adalah 10.

Untuk cmdlet dan contoh remediasi lainnya, lihat modul Az.PolicyInsights.

Azure CLI

Untuk membuat tugas remediasi dengan Azure CLI, gunakan az policy remediation perintah. Ganti {subscriptionId} dengan ID langganan Anda dan {myAssignmentId} atau deployIfNotExists dengan ID penetapan kebijakan.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Untuk perintah dan contoh remediasi lainnya, lihat perintah az policy remediation.

Langkah berikutnya

• Tinjau contoh pada sampel Azure Policy.
• Tinjau struktur definisi Azure Policy.
• Tinjau Memahami efek kebijakan.
• Memahami cara membuat kebijakan secara terprogram.
• Pelajari cara mendapatkan data kepatuhan.
• Tinjau apa itu grup manajemen Atur sumber daya Anda dengan grup manajemen Azure.