Korygowanie niezgodnych zasobów za pomocą usługi Azure Policy

Zasoby niezgodne z zasadami deployIfNotExists lub modify efekty można umieścić w stanie zgodnym za pomocą korygowania. Korygowanie odbywa się za pomocą zadań korygujących, które wdrażają deployIfNotExists szablon lub modify operacje przypisanych zasad w istniejących zasobach i subskrypcjach, niezależnie od tego, czy przypisanie znajduje się w grupie zarządzania, subskrypcji, grupie zasobów, czy pojedynczym zasobie. W tym artykule przedstawiono kroki niezbędne do zrozumienia i wykonania korygowania za pomocą usługi Azure Policy.

Jak działa kontrola dostępu korygowania

Gdy usługa Azure Policy uruchamia wdrożenie szablonu podczas oceniania zasad lub modyfikuje zasób podczas oceniania deployIfNotExists modify zasad, robi to przy użyciu tożsamości zarządzanej skojarzonej z przypisaniem zasad. Przypisania zasad używają tożsamości zarządzanych do autoryzacji zasobów platformy Azure. Można użyć tożsamości zarządzanej przypisanej przez system utworzonej przez usługę zasad lub tożsamości przypisanej przez użytkownika. Tożsamość zarządzana musi mieć przypisaną minimalną rolę kontroli dostępu na podstawie ról (RBAC) platformy Azure wymaganą do skorygowania zasobów. Jeśli tożsamość zarządzana nie ma ról, podczas przypisywania zasad lub inicjatywy w portalu jest wyświetlany błąd. W przypadku korzystania z portalu usługa Azure Policy automatycznie udziela tożsamości zarządzanej wymienionych ról po rozpoczęciu przypisywania. W przypadku korzystania z zestawu Azure Software Development Kit (SDK) role muszą zostać przyznane ręcznie tożsamości zarządzanej. Lokalizacja tożsamości zarządzanej nie ma wpływu na jej działanie z usługą Azure Policy.

Uwaga

Zmiana definicji zasad nie powoduje automatycznej aktualizacji przypisania ani skojarzonej tożsamości zarządzanej.

Zabezpieczenia korygowania można skonfigurować za pomocą następujących kroków:

• Konfigurowanie definicji zasad
• Konfigurowanie tożsamości zarządzanej
• Udzielanie uprawnień tożsamości zarządzanej za pomocą zdefiniowanych ról
• Tworzenie zadania korygowania

Konfigurowanie definicji zasad

Zgodnie z wymaganiami wstępnymi definicja zasad musi definiować role, które deployIfNotExists i modify muszą pomyślnie wdrożyć zawartość dołączonego szablonu. Dla wbudowanej definicji zasad nie jest wymagana żadna akcja, ponieważ te role są wstępnie wypełniane. W przypadku definicji zasad niestandardowych w obszarze details właściwości dodaj roleDefinitionIds właściwość. Ta właściwość jest tablicą ciągów pasujących do ról w danym środowisku. Aby zapoznać się z pełnym przykładem, zobacz deployIfNotExists lub modify.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

Właściwość roleDefinitionIds używa pełnego identyfikatora zasobu i nie zajmuje krótkiej roleName roli. Aby uzyskać identyfikator roli Współautor w danym środowisku, użyj następującego kodu interfejsu wiersza polecenia platformy Azure:

az role definition list --name "Contributor"

Ważne

Uprawnienia powinny być ograniczone do najmniejszego możliwego zestawu podczas definiowania roleDefinitionIds w definicji zasad lub ręcznego przypisywania uprawnień do tożsamości zarządzanej. Aby uzyskać więcej najlepszych rozwiązań, zobacz Zalecenia dotyczące najlepszych rozwiązań dotyczących tożsamości zarządzanej.

Konfigurowanie tożsamości zarządzanej

Każde przypisanie usługi Azure Policy może być skojarzone tylko z jedną tożsamością zarządzaną. Tożsamość zarządzana może mieć jednak przypisane wiele ról. Konfiguracja odbywa się w dwóch krokach: najpierw utwórz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika, a następnie przyznaj jej niezbędne role.

Uwaga

Podczas tworzenia tożsamości zarządzanej za pośrednictwem portalu role zostaną automatycznie przyznane tożsamości zarządzanej. Jeśli roleDefinitionIds zostaną później edytowane w definicji zasad, nowe uprawnienia muszą zostać przyznane ręcznie, nawet w portalu.

Tworzenie tożsamości zarządzanej

Portal

Podczas tworzenia przypisania przy użyciu portalu usługa Azure Policy może wygenerować tożsamość zarządzaną przypisaną przez system i przyznać jej role zdefiniowane w definicji roleDefinitionIdszasad . Alternatywnie można określić tożsamość zarządzaną przypisaną przez użytkownika, która odbiera to samo przypisanie roli.

Aby ustawić tożsamość zarządzaną przypisaną przez system w portalu:

1. Na karcie Korygowanie widoku tworzenia/edytowania przypisania w obszarze Typy tożsamości zarządzanej upewnij się, że wybrano tożsamość zarządzaną przypisaną przez system.

2. Określ lokalizację, w której ma znajdować się tożsamość zarządzana.

3. Nie przypisuj zakresu tożsamości zarządzanej przypisanej przez system, ponieważ zakres jest dziedziczony z zakresu przypisania.

Aby ustawić tożsamość zarządzaną przypisaną przez użytkownika w portalu:

1. Na karcie Korygowanie widoku tworzenia/edytowania przypisania w obszarze Typy tożsamości zarządzanej upewnij się, że wybrano opcję Tożsamość zarządzana przypisana przez użytkownika.

2. Określ zakres, w którym jest hostowana tożsamość zarządzana. Zakres tożsamości zarządzanej nie musi być zgodny z zakresem przypisania, ale musi znajdować się w tej samej dzierżawie.

3. W obszarze Istniejące tożsamości przypisane przez użytkownika wybierz tożsamość zarządzaną.

Program PowerShell

Aby utworzyć tożsamość podczas przypisywania zasad, należy zdefiniować lokalizację i użyć tożsamości .

Poniższy przykład pobiera definicję wbudowanych zasad Wdrażanie przezroczystego szyfrowania danych bazy danych SQL DB, ustawia docelową grupę zasobów, a następnie tworzy przypisanie przy użyciu przypisanej przez system tożsamości zarządzanej.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Poniższy przykład pobiera definicję wbudowanych zasad Wdrażanie przezroczystego szyfrowania danych bazy danych SQL DB, ustawia docelową grupę zasobów, a następnie tworzy przypisanie przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Zmienna $assignment zawiera teraz identyfikator podmiotu zabezpieczeń tożsamości zarządzanej wraz z wartościami standardowymi zwracanymi podczas tworzenia przypisania zasad. Dostęp do niego można uzyskać za pośrednictwem $assignment.Identity.PrincipalId tożsamości zarządzanych przypisanych przez system i $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId tożsamości zarządzanych przypisanych przez użytkownika.

Interfejs wiersza polecenia platformy Azure

Aby utworzyć tożsamość podczas przypisywania zasad, użyj polecenia az policy assignment create z parametrami --location, --mi-system-assigned, --mi-user-assigned, i --identity-scope w zależności od tego, czy tożsamość zarządzana powinna być przypisana przez system, czy przypisana przez użytkownika.

Aby dodać tożsamość przypisaną przez system lub tożsamość przypisaną przez użytkownika do przypisania zasad, postępuj zgodnie z przykładowymi poleceniami az policy assignment identity assign .

Udzielanie uprawnień tożsamości zarządzanej za pomocą zdefiniowanych ról

Ważne

Jeśli tożsamość zarządzana nie ma uprawnień wymaganych do wykonania wymaganego zadania korygowania, zostanie ona udzielona automatycznie tylko za pośrednictwem portalu. Ten krok można pominąć w przypadku tworzenia tożsamości zarządzanej za pośrednictwem portalu.

W przypadku wszystkich innych metod tożsamość zarządzana przypisania musi zostać ręcznie udzielona przez dodanie ról lub w przeciwnym razie wdrożenie korygowania zakończy się niepowodzeniem.

Przykładowe scenariusze wymagające uprawnień ręcznych:

• Jeśli przypisanie jest tworzone za pomocą zestawu Sdk (Software Development Kit) platformy Azure
• Jeśli zasób zmodyfikowany przez deployIfNotExists lub modify znajduje się poza zakresem przypisania zasad
• Jeśli szablon uzyskuje dostęp do właściwości zasobów poza zakresem przypisania zasad

Portal

Istnieją dwa sposoby udzielania tożsamości zarządzanej przypisania zdefiniowanych ról przy użyciu portalu: przy użyciu kontroli dostępu (IAM) lub edytowania zasad lub przypisania inicjatywy i wybrania pozycji Zapisz.

Aby dodać rolę do tożsamości zarządzanej przypisania, wykonaj następujące kroki:

1. Uruchom usługę Azure Policy w witrynie Azure Portal, wybierając pozycję Wszystkie usługi, a następnie wyszukując i wybierając pozycję Zasady.

2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy.

3. Znajdź przypisanie, które ma tożsamość zarządzaną, i wybierz nazwę.

4. Znajdź właściwość Identyfikator przypisania na stronie edycji. Identyfikator przypisania wygląda podobnie do następującego przykładu:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Nazwa tożsamości zarządzanej to ostatnia część identyfikatora zasobu przypisania, która znajduje się 2802056bfc094dfb95d4d7a5 w tym przykładzie. Skopiuj tę część identyfikatora zasobu przypisania.

5. Przejdź do zasobu lub kontenera nadrzędnego zasobów (grupy zasobów, subskrypcji, grupy zarządzania), który wymaga ręcznego dodania definicji roli.

6. Wybierz link Kontrola dostępu (IAM) na stronie zasobów, a następnie wybierz pozycję + Dodaj przypisanie roli w górnej części strony kontroli dostępu.

7. Wybierz odpowiednią rolę zgodną z definicją roleDefinitionIds zasad. Pozostaw opcję Przypisz dostęp, aby ustawić wartość domyślną "użytkownik, grupa lub aplikacja". W polu Wybierz wklej lub wpisz część identyfikatora zasobu przypisania znajdującego się wcześniej. Po zakończeniu wyszukiwania wybierz obiekt o tej samej nazwie, aby wybrać identyfikator, a następnie wybierz pozycję Zapisz.

Program PowerShell

Aby można było przyznać wymagane role, nowa tożsamość zarządzana musi zakończyć replikację za pomocą identyfikatora Entra firmy Microsoft. Po zakończeniu replikacji następujące przykłady iterują definicję zasad w $policyDef pliku i używają polecenia New-AzRoleAssignment w celu udzielenia nowej tożsamości roleDefinitionIds zarządzanej ról.

W szczególności w pierwszym przykładzie pokazano, jak udzielić ról w zakresie zasad. W drugim przykładzie pokazano, jak udzielić ról w zakresie inicjatywy (zestaw zasad).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Interfejs wiersza polecenia platformy Azure

Aby można było przyznać wymagane role, nowa tożsamość zarządzana musi zakończyć replikację za pomocą identyfikatora Entra firmy Microsoft. Po zakończeniu replikacji role określone w definicji roleDefinitionIds zasad powinny zostać przyznane tożsamości zarządzanej.

Uzyskaj dostęp do ról określonych w definicji zasad przy użyciu polecenia az policy definition show , a następnie iteruj nad poszczególnymi roleDefinitionIds , aby utworzyć przypisanie roli przy użyciu polecenia az role assignment create .

Tworzenie zadania korygowania

Portal

Uruchom usługę Azure Policy w witrynie Azure Portal, wybierając pozycję Wszystkie usługi, a następnie wyszukując i wybierając pozycję Zasady.

Krok 1. Inicjowanie tworzenia zadania korygowania

Istnieją trzy sposoby tworzenia zadania korygowania za pośrednictwem portalu.

Opcja 1. Tworzenie zadania korygowania na stronie Korygowanie

1. Wybierz pozycję Korygowanie po lewej stronie usługi Azure Policy.

   

2. Wszystkie deployIfNotExists przypisania zasad i modify są wyświetlane na karcie Zasady do korygowania . Wybierz jeden z zasobami, które nie są zgodne, aby otworzyć stronę Nowe zadanie korygowania.

3. Wykonaj kroki, aby określić szczegóły zadania korygowania.

Opcja 2. Tworzenie zadania korygowania na podstawie niezgodnego przypisania zasad

1. Wybierz pozycję Zgodność po lewej stronie usługi Azure Policy.

2. Wybierz niezgodne zasady lub przypisanie inicjatywy zawierające deployIfNotExists lub modify efekty.

3. Wybierz przycisk Utwórz zadanie korygowania w górnej części strony, aby otworzyć stronę Nowe zadanie korygowania.

4. Wykonaj kroki, aby określić szczegóły zadania korygowania.

Opcja 3. Tworzenie zadania korygowania podczas przypisywania zasad

Jeśli przypisanie zasad lub definicji inicjatywy ma deployIfNotExists efekt lub modify , karta Korygowanie kreatora oferuje opcję Utwórz zadanie korygowania, która tworzy zadanie korygowania w tym samym czasie co przypisanie zasad.

Uwaga

Jest to najbardziej usprawnione podejście do tworzenia zadania korygowania i jest obsługiwane w przypadku zasad przypisanych do subskrypcji. W przypadku zasad przypisanych do grupy zarządzania należy utworzyć zadania korygowania przy użyciu opcji 1 lub opcji 2 po przeprowadzeniu oceny określono zgodność zasobów.

1. W kreatorze przypisania w portalu przejdź do karty Korygowanie . Zaznacz pole wyboru Utwórz zadanie korygowania.

2. Jeśli zadanie korygowania jest inicjowane z przypisania inicjatywy, wybierz zasady, które mają skorygować z listy rozwijanej.

3. Skonfiguruj tożsamość zarządzaną i wypełnij pozostałe czynności kreatora. Zadanie korygowania jest tworzone podczas tworzenia przypisania.

Krok 2. Określanie szczegółów zadania korygowania

Ten krok ma zastosowanie tylko w przypadku użycia opcji 1 lub opcji 2 do zainicjowania tworzenia zadania korygowania.

1. Jeśli zadanie korygowania jest inicjowane z przypisania inicjatywy, wybierz zasady, które mają skorygować z listy rozwijanej. Jedno deployIfNotExists lub modify zasady można skorygować za pomocą jednego zadania korygowania w danym momencie.

2. Opcjonalnie zmodyfikuj ustawienia korygowania na stronie. Aby uzyskać informacje na temat kontrolek poszczególnych ustawień, zobacz Struktura zadań korygowania.

3. Na tej samej stronie przefiltruj zasoby, aby skorygować za pomocą wielokropka zakresów , aby wybrać zasoby podrzędne, z których są przypisywane zasady (w tym do poszczególnych obiektów zasobów). Ponadto użyj listy rozwijanej Lokalizacje , aby dokładniej filtrować zasoby.

   

4. Rozpocznij zadanie korygowania po przefiltrowaniu zasobów, wybierając pozycję Koryguj. Strona zgodności zasad zostanie otwarta na karcie Zadania korygowania, aby wyświetlić stan postępu zadań. Wdrożenia utworzone przez zadanie korygowania zaczynają się od razu.

   

Krok 3. Śledzenie postępu zadania korygowania

1. Przejdź do karty Zadania korygowania na stronie Korygowanie . Wybierz zadanie korygowania, aby wyświetlić szczegóły dotyczące używanego filtrowania, bieżącego stanu i listy skorygowanych zasobów.

2. Na stronie Szczegóły zadania korygowania kliknij prawym przyciskiem myszy zasób, aby wyświetlić wdrożenie zadania korygowania lub zasób. Na końcu wiersza wybierz pozycję Powiązane zdarzenia , aby wyświetlić szczegóły, takie jak komunikat o błędzie.

   

Zasoby wdrożone za pomocą zadania korygowania są dodawane do karty Wdrożone zasoby na stronie szczegółów przypisania zasad.

Program PowerShell

Aby utworzyć zadanie korygowania za pomocą programu Azure PowerShell, użyj Start-AzPolicyRemediation poleceń . Zastąp {subscriptionId} ciąg identyfikatorem subskrypcji i {myAssignmentId} identyfikatorem deployIfNotExists przypisania zasad lub modify .

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Możesz również dostosować ustawienia korygowania za pomocą następujących parametrów opcjonalnych:

• -FailureThreshold — Służy do określania, czy zadanie korygowania powinno zakończyć się niepowodzeniem, jeśli wartość procentowa niepowodzeń przekracza określony próg. Podana jako liczba z zakresu od 0 do 100. Domyślnie próg niepowodzenia wynosi 100%.
• -ResourceCount - Określa, ile niezgodnych zasobów ma skorygować w danym zadaniu korygowania. Wartość domyślna to 500 (poprzedni limit). Maksymalna liczba to 50 000 zasobów.
• -ParallelDeploymentCount - Określa liczbę zasobów do skorygowania w tym samym czasie. Dozwolone wartości to od 1 do 30 zasobów jednocześnie. Wartość domyślna to 10.

Aby uzyskać więcej poleceń cmdlet i przykładów korygowania, zobacz moduł Az.PolicyInsights .

Interfejs wiersza polecenia platformy Azure

Aby utworzyć zadanie korygowania za pomocą interfejsu az policy remediation wiersza polecenia platformy Azure, użyj poleceń . Zastąp {subscriptionId} ciąg identyfikatorem subskrypcji i {myAssignmentId} identyfikatorem deployIfNotExists przypisania zasad lub modify .

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Aby uzyskać więcej poleceń korygowania i przykładów, zobacz polecenia az policy remediation .

Następne kroki

• Zapoznaj się z przykładami w przykładach usługi Azure Policy.
• Przejrzyj temat Struktura definicji zasad Azure Policy.
• Przejrzyj wyjaśnienie działania zasad.
• Dowiedz się, jak programowo tworzyć zasady.
• Dowiedz się, jak uzyskać dane zgodności.
• Sprawdź, co to jest grupa zarządzania za pomocą funkcji Organizowanie zasobów przy użyciu grup zarządzania platformy Azure.