Configurare le impostazioni di sicurezza usando Azure Blueprint
Così come un progetto consente a un ingegnere o un architetto di tracciare i parametri di progettazione, Azure Blueprints consente agli architetti cloud e ai gruppi centrali del reparto IT di definire un set ripetibile di risorse di Azure che implementa ed è conforme a standard, criteri e requisiti di un'organizzazione. Azure Blueprints consente ai team di sviluppo di creare e avviare rapidamente nuovi ambienti sapendo che vengono creati in conformità con l'organizzazione con un set di componenti integrati, ad esempio reti, per velocizzare lo sviluppo e il recapito.
I progetti costituiscono un metodo dichiarativo per orchestrare la distribuzione di vari modelli di risorse e altri artefatti, ad esempio:
- Assegnazioni di ruolo
- Assegnazioni di criteri
- Modelli di Gestione risorse di Azure
- gruppi di risorse
Il servizio Azure Blueprints è supportato da Azure Cosmos DB distribuito a livello globale. Gli oggetti di Blueprints vengono replicati in più aree di Azure. Questa replica fornisce bassa latenza, disponibilità elevata e accesso ininterrotto agli oggetti del progetto, indipendentemente dall'area in cui Azure Blueprints distribuisce le risorse.
Differenze tra i modelli di Azure Resource Manager
Il servizio è progettato per facilitare la configurazione dell'ambiente. Questa configurazione è costituita spesso da un set di gruppi di risorse, criteri, assegnazioni di ruolo e distribuzioni dei modelli di Azure Resource Manager. Un progetto è un pacchetto che raggruppa tutti questi tipi di artefatti e consente di comporre e controllare la versione di tale pacchetto, anche tramite una pipeline di integrazione continua e distribuzione continua (CI/CD). In definitiva, ognuno viene assegnato a una sottoscrizione in una singola operazione che può essere controllata e monitorata.
Quasi tutti gli elementi che si intende considerare per la distribuzione in Azure Blueprints possono essere eseguiti con un modello di Azure Resource Manager. Tuttavia, un modello di Azure Resource Manager è un documento che non esiste in modo nativo in Azure: ognuno viene archiviato in locale o nel controllo del codice sorgente o nei modelli (anteprima). Il modello viene usato per le distribuzioni di una o più risorse di Azure ma, al completamento delle distribuzioni, non rimane una connessione o una relazione attiva con il modello.
Con Azure Blueprints viene mantenuta la relazione tra la definizione del progetto (cosa distribuire) e l'assegnazione del progetto (cosa è stato distribuito). Questa connessione supporta un migliore monitoraggio e controllo delle distribuzioni. Azure Blueprints può anche aggiornare più sottoscrizioni contemporaneamente regolate dallo stesso progetto.
Non è necessario scegliere tra un modello di Azure Resource Manager e un progetto. Ogni progetto può essere costituito da zero o più artefatti dei modelli di Azure Resource Manager. Ciò significa che il lavoro richiesto in precedenza per sviluppare e gestire una libreria di modelli di Azure Resource Manager è riutilizzabile in Azure Blueprints.
Differenze rispetto a Criteri di Azure
Un progetto è un pacchetto o un contenitore per la composizione di specifici set di standard, criteri e requisiti correlati all'implementazione dei servizi cloud, della sicurezza e della progettazione di Azure, che può essere riutilizzato per garantire coerenza e conformità.
I criteri costituiscono un sistema predefinito di autorizzazione e negazione esplicita che mira alle proprietà delle risorse durante la distribuzione e viene usato per le risorse già esistenti. I criteri supportano la governance cloud verificando che le risorse all'interno di una sottoscrizione siano conformi a standard e requisiti.
L'inclusione di criteri in un progetto consente di creare il modello o il motivo corretto durante l'assegnazione del progetto stesso L’inclusione del criterio assicura anche che nell'ambiente vengano eseguite solo le modifiche approvate o previste, in modo da garantire la conformità continua con la finalità del progetto.
I criteri possono essere inclusi nella definizione di un progetto come i vari artefatti. Blueprints supporta anche l'uso di parametri con criteri e iniziative.
Definizione di progetto
Un progetto è costituito da artefatti. Azure Blueprints supporta attualmente le risorse seguenti come artefatti:
| Conto risorse | Opzioni della gerarchia | Descrizione |
|---|---|---|
| gruppi di risorse | Abbonamento | Creare un nuovo gruppo di risorse per l'uso da parte di altri artefatti nel progetto. Questi gruppi di risorse segnaposto consentono di organizzare le risorse strutturandole esattamente nel modo desiderato e forniscono un limitatore di ambito per i criteri e gli artefatti di assegnazione dei ruoli inclusi, nonché per i modelli di Resource Manager. |
| Modello di Azure Resource Manager | Sottoscrizione, gruppo di risorse | Vengono usati modelli, inclusi quelli annidati e collegati, per comporre ambienti complessi. Esempi di ambienti complessi sono: una farm di SharePoint, la configurazione dello stato di Automazione di Azure o un'area di lavoro Log Analytics. |
| Assegnazione dei criteri | Sottoscrizione, gruppo di risorse | Consente di assegnare criteri o iniziative alla sottoscrizione a cui è assegnato il progetto. I criteri o le iniziative devono trovarsi nell'ambito della posizione della definizione di progetto. Se i criteri o le iniziative includono dei parametri, questi vengono assegnati al momento della creazione del progetto o durante l'assegnazione dello stesso. |
| Assegnazione di ruolo | Sottoscrizione, gruppo di risorse | Aggiungere un utente o gruppo esistente a un ruolo predefinito per assicurarsi che gli utenti corretti possano sempre accedere correttamente alle risorse. Le assegnazioni di ruolo possono essere definite per l'intera sottoscrizione o annidate in un gruppo di risorse specifiche incluso nel progetto. |
Posizioni delle definizioni di progetto
Durante la creazione di una definizione di progetto, viene definita la posizione di salvataggio del progetto. I progetti possono essere salvati in un gruppo di gestione o una sottoscrizione a cui si ha accesso come collaboratore. Se la posizione è un gruppo di gestione, il progetto è assegnabile a qualsiasi sottoscrizione figlio di tale gruppo di gestione.
Parametri di progetto
Azure Blueprint può passare i parametri a criteri o iniziative oppure a un modello di Azure Resource Manager. Quando si aggiunge un artefatto a un progetto, l'autore decide se fornire un valore definito per ogni assegnazione di progetto o se consentire a ogni assegnazione di progetto di fornire un valore in fase di assegnazione. Questa flessibilità consente di definire un valore predeterminato per tutti gli usi del progetto o per consentire che tale decisione venga presa al momento dell'assegnazione.
Pubblicazione di progetti
Quando si crea un progetto per la prima volta, questo viene considerato in modalità bozza. Quando è pronto per l'assegnazione, deve essere pubblicato. La pubblicazione richiede la definizione di una stringa versione (lettere, numeri e trattini con una lunghezza massima di 20 caratteri) insieme a note di modifica facoltative. La stringa versione consente di distinguere il progetto dalle modifiche future apportate allo stesso e di assegnare ciascuna versione. Questo controllo delle versioni significa anche che è possibile assegnare diverse versioni dello stesso progetto alla stessa sottoscrizione. Quando vengono apportate modifiche aggiuntive al progetto, la versione pubblicata esiste ancora, come le modifiche non pubblicate. Una volta ultimate le modifiche, il progetto aggiornato viene pubblicato con una nuova versione univoca e può essere ora assegnato.
Assegnazione progetto
Ogni versione pubblicata di un progetto può essere assegnata (con un nome contenente al massimo 90 caratteri) a un gruppo di gestione o a una sottoscrizione esistente. Nel portale il progetto imposta la versionepubblicata più di recente come predefinita. Se sono presenti parametri di artefatto o parametri di progetto, questi vengono definiti durante il processo di assegnazione.
Nota
L'assegnazione di una definizione di progetto a un gruppo di gestione indica l'esistenza dell'oggetto di assegnazione nel gruppo di gestione. La distribuzione di artefatti è ancora destinata a una sottoscrizione. Per eseguire un'assegnazione di un gruppo di gestione, è necessario usare l'API REST Create o Update e il corpo della richiesta deve includere un valore per properties.scope per definire la sottoscrizione di destinazione.
Autorizzazioni in Azure Blueprint
Per usare i progetti è necessario che siano state concesse le autorizzazioni tramite il controllo degli accessi in base al ruolo di Azure. Per eseguire la lettura di un progetto o visualizzarlo nel portale di Azure, è necessario che l'account disponga dell'accesso in lettura all'ambito in cui si trova la definizione del progetto.
Per creare i progetti l'account necessita delle seguenti autorizzazioni:
Microsoft.Blueprint/blueprints/write- Creare una definizione di progettoMicrosoft.Blueprint/blueprints/artifacts/write- Creare artefatti su una definizione di progettoMicrosoft.Blueprint/blueprints/versions/write - Publish a blueprint
Per eliminare i progetti l'account necessita delle seguenti autorizzazioni:
Microsoft.Blueprint/blueprints/deleteMicrosoft.Blueprint/blueprints/artifacts/deleteMicrosoft.Blueprint/blueprints/versions/delete
Nota
Le autorizzazioni per la definizione del progetto devono essere concesse o ereditate nell'ambito del gruppo di gestione o della sottoscrizione in cui viene salvata.
Nota
Le assegnazioni di progetto vengono create in una sottoscrizione, è necessario concedere e annullare l'assegnazione delle autorizzazioni per il progetto in un ambito di sottoscrizione o essere ereditate in un ambito di sottoscrizione.
Per assegnare o annullare l'assegnazione di un progetto l'account necessita delle seguenti autorizzazioni:
Microsoft.Blueprint/blueprintAssignments/write- Assegnare un progettoMicrosoft.Blueprint/blueprintAssignments/delete- Annullare l'assegnazione di un progetto
Sono disponibili i ruoli predefiniti seguenti:
| Ruolo di Azure | Descrizione |
|---|---|
| Proprietario | Oltre ad altre autorizzazioni, include tutte le autorizzazioni correlate ad Azure Blueprints. |
| Collaboratore | Oltre ad altre autorizzazioni, può creare ed eliminare definizioni di progetto, ma non ha le autorizzazioni per l'assegnazione di progetti. |
| Collaboratore di progetto | Può gestire le definizioni di progetto, ma non assegnarle. |
| Operatore di progetto | Può assegnare i progetti pubblicati esistenti, ma non può creare nuove definizioni di progetto. L'assegnazione di progetti funziona solo se viene eseguita con un'identità gestita assegnata dall'utente. |
Se questi ruoli predefiniti non soddisfano specifiche esigenze di sicurezza, provare a creare un ruolo personalizzato.
Nota
Se si utilizza un'identità gestita assegnata al sistema, per poter abilitare la distribuzione l'entità servizio per Azure Blueprint richiede il ruolo proprietario nella sottoscrizione assegnata. Se si usa il portale, questo ruolo viene automaticamente concesso e revocato per la distribuzione. Se si usa l'API REST, questo ruolo deve essere concesso manualmente, ma viene comunque revocato automaticamente al termine della distribuzione. Se si usa un'identità gestita assegnata dall'utente, solo l'utente che crea l'assegnazione del progetto necessita diAutorizzazione Microsoft.Blueprint/blueprintAssignments/write , inclusa nei ruoli predefiniti Proprietario e Operatore del progetto.