Исправление несоответствующих ресурсов с помощью службы "Политика Azure"

Ресурсы, которые не соответствуют политикам deployIfNotExists или modify последствиям, можно поместить в соответствующее состояние с помощью исправления. Исправление выполняется с помощью задач исправления, которые развертывают deployIfNotExists шаблон или modify операции назначенной политики в существующих ресурсах и подписках, будь то назначение в группе управления, подписке, группе ресурсов или отдельном ресурсе. В этой статье приведены шаги, необходимые для распознавания не соответствующих политике ресурсов и выполнения исправлений с помощью службы "Политика Azure".

Как работает управление доступом к исправлению

Когда Политика Azure запускает развертывание шаблона при оценке политик или изменяет ресурс при оценке deployIfNotExists modify политик, он использует управляемое удостоверение, связанное с назначением политики. Назначения политик используют управляемые удостоверения для авторизации ресурсов Azure. Вы можете использовать управляемое удостоверение, назначаемое системой, созданное службой политик или назначаемым пользователем удостоверением, предоставленным пользователем. Управляемое удостоверение должно быть назначено минимальной роли управления доступом на основе ролей Azure (Azure RBAC), необходимой для исправления ресурсов. Если в управляемом удостоверении отсутствуют роли, эта ошибка отображается на портале во время назначения политики или в инициативе. При использовании портала Политика Azure автоматически предоставляет управляемое удостоверение перечисленным ролям после запуска назначения. При использовании пакета средств разработки программного обеспечения Azure (SDK) роли должны быть предоставлены управляемому удостоверению вручную. Расположение управляемого удостоверения не влияет на его работу с Политика Azure.

Примечание.

Изменение определения политики не приводит к автоматическому обновлению назначения или связанного управляемого удостоверения.

Безопасность исправления можно настроить с помощью следующих шагов:

• Настройка определения политики
• Настройка управляемого удостоверения
• Предоставление разрешений управляемому удостоверению с помощью определенных ролей
• Создание задачи исправления

Настройка определения политики

В качестве предварительных требований определение политики должно определять роли, которые deployIfNotExists и modify должны успешно развертывать содержимое включенного шаблона. Для определения встроенной политики не требуется никаких действий, так как эти роли предварительно заполнены. Для определения настраиваемой политики в свойстве details добавьте roleDefinitionIds свойство. Это свойство является массивом строк, соответствующих ролям в среде. Полный пример см. в статье deployIfNotExists или modify.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

Свойство roleDefinitionIds использует полный идентификатор ресурса и не принимает роль roleName . Чтобы получить идентификатор роли участника в вашей среде, используйте следующий код Azure CLI:

az role definition list --name "Contributor"

Внимание

Разрешения должны быть ограничены наименьшим набором при определении roleDefinitionIds политики или назначении разрешений управляемому удостоверению вручную. Дополнительные рекомендации по управляемым удостоверениям см. здесь.

Настройка управляемого удостоверения

Каждое назначение Политика Azure может быть связано только с одним управляемым удостоверением. Однако управляемому удостоверению можно назначить несколько ролей. Конфигурация выполняется за два шага: сначала создайте управляемое удостоверение, назначаемое системой или пользователем, а затем предоставьте ему необходимые роли.

Примечание.

При создании управляемого удостоверения на портале роли будут автоматически предоставлены управляемому удостоверению. Если roleDefinitionIds в определении политики позже отредактируются, новые разрешения должны быть предоставлены вручную, даже на портале.

Создание управляемого удостоверения

Портал

При создании назначения с помощью портала Политика Azure может создать управляемое удостоверение, назначаемое системой, и предоставить ему роли, определенные в определении roleDefinitionIdsполитики. Кроме того, можно указать управляемое удостоверение, назначаемое пользователем, которое получает то же назначение ролей.

Чтобы задать управляемое удостоверение, назначаемое системой, на портале, сделайте следующее:

1. В разделе Types of Managed Identity (Типы управляемого удостоверения) на вкладке Исправление представления создания/изменения назначения выберите параметр Управляемое удостоверение, назначаемое системой.

2. Укажите расположение, где будет находиться управляемое удостоверение.

3. Не назначайте область управляемого удостоверения, назначаемого системой, так как область наследуется от области назначения.

Чтобы задать управляемое удостоверение, назначаемое пользователем, на портале, сделайте следующее:

1. В разделе Types of Managed Identity (Типы управляемого удостоверения) на вкладке Исправление представления создания/изменения назначения выберите параметр Управляемое удостоверение, назначаемое пользователем.

2. Укажите область, в которой размещается управляемое удостоверение. Область управляемого удостоверения не должна совпадать с областью назначения, но она должна находиться в одном клиенте.

3. Выберите управляемое удостоверение в разделе Существующие удостоверения, назначенные пользователями.

PowerShell

Для создания удостоверения во время назначения политики необходимо определить свойство Location и использовать свойство Identity.

В следующем примере получается определение встроенной политики Развертывания прозрачного шифрования данных SQL DB, задает целевую группу ресурсов, а затем создает назначение с помощью управляемого удостоверения, назначенного системой.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Следующий пример получает определение встроенной политики Развернуть прозрачное шифрование базы данных SQL, задает целевую группу ресурсов, а затем создает назначение с использованием управляемого удостоверения, назначаемого пользователем.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Переменная $assignment теперь содержит идентификатор субъекта для управляемого удостоверения, а также стандартные значения, возвращаемые при создании назначения политики. Доступ к нему можно получить с помощью $assignment.Identity.PrincipalId ( для управляемых удостоверений, назначаемых системой) или $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId (для управляемых удостоверений, назначаемых пользователем).

Azure CLI

Чтобы создать удостоверение во время назначения политики, используйте команды az policy assignment с параметрами --location, --mi-system-assigned--mi-user-assignedи --identity-scope в зависимости от того, следует ли назначить управляемое удостоверение или назначить пользователем.

Чтобы добавить назначаемое системой или назначаемое пользователем удостоверение в назначение политики, см. примеры команды az policy assignment identity assign.

Предоставление разрешений управляемому удостоверению с помощью определенных ролей

Внимание

Если у управляемого удостоверения нет разрешений, необходимых для выполнения требуемой задачи исправления, разрешения предоставляются ему автоматически только через портал. Этот шаг можно пропустить при создании управляемого удостоверения на портале.

При использовании всех других методов управляемому удостоверению назначения должен быть предоставлен доступ вручную путем добавления ролей. В противном случае развертывание исправления завершится сбоем.

Примеры сценариев, требующих предоставляемых вручную разрешений:

• Если назначение создается с помощью пакета средств разработки программного обеспечения Azure (SDK)
• Если ресурс, измененный deployIfNotExists или modify не входит в область назначения политики
• Если шаблон обращается к свойствам ресурсов за пределами области назначения политики.

Портал

На портале управляемому удостоверению назначения можно присвоить определенные роли двумя способами: используя раздел Управление доступом (IAM) либо изменив назначение политики или инициативы и выбрав Сохранить.

Чтобы добавить роль для управляемого удостоверения назначения, выполните следующие действия:

1. Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

2. Выберите Назначения на странице службы Политики Azure слева.

3. Найдите назначение, которое имеет управляемое удостоверение, и щелкните его имя.

4. Найдите свойство Идентификатор назначения на странице изменения. Идентификатор назначения выглядит следующим образом:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Имя управляемого удостоверения — это последняя часть идентификатора ресурса назначения (в этом примере 2802056bfc094dfb95d4d7a5). Скопируйте эту часть идентификатора ресурса назначения.

5. Перейдите к ресурсу или родительскому контейнеру ресурсов (группа ресурсов, подписка, группа управления), для которого нужно вручную добавить определение роли.

6. Щелкните ссылку Управление доступом (IAM) на странице ресурсов и выберите + Добавить назначение ролей в верхней части страницы управления доступом.

7. Выберите соответствующую роль, соответствующую roleDefinitionIds определению политики. Оставьте доступ назначить для задания значения по умолчанию "пользователь, группа или приложение". В поле Выберите вставьте или введите часть идентификатора ресурса назначения, обнаруженного ранее. После завершения поиска щелкните объект с тем же именем, чтобы выбрать идентификатор, и нажмите кнопку Сохранить.

PowerShell

Новое управляемое удостоверение должно завершить репликацию с помощью идентификатора Microsoft Entra, прежде чем он сможет предоставить необходимые роли. После завершения репликации в следующих примерах выполняется итерация определения $policyDef политики для roleDefinitionIds объекта New-AzRoleAssignment , чтобы предоставить новому управляемому удостоверению роли.

В частности, в первом примере показано, как предоставить роли в области политики. Во втором примере показано, как предоставить роли в области инициативы (набор политик).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Новое управляемое удостоверение должно завершить репликацию с помощью идентификатора Microsoft Entra, прежде чем он сможет предоставить необходимые роли. После завершения репликации роли, указанные в определении roleDefinitionIds политики, должны быть предоставлены управляемому удостоверению.

Перейдите к ролям, указанным в определении политики, с помощью команды az policy definition show , а затем выполните итерацию по каждому roleDefinitionIds заданию роли с помощью команды az role assignment create .

Создание задачи исправления

Портал

Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

Шаг 1. Запуск создания задачи исправления

Существует три способа создать задачу исправления с помощью портала.

Вариант 1. Создание задачи исправления на странице "Исправление"

1. Выберите Исправление на странице службы "Политика Azure" слева.

   

2. На вкладке "Политики" отображаются все deployIfNotExists назначения политик и modify назначения политик. Выберите один из ресурсов, которые не соответствуют требованиям, чтобы открыть страницу задачи "Создать исправление".

3. Выполните действия, чтобы указать сведения о задаче исправления.

Вариант 2. Создание задачи исправления из несоответствующего назначения политики

1. Выберите Соответствие на странице Политики Azure слева.

2. Выберите несоответствующую политику или назначение инициативы, deployIfNotExists содержащую или modify эффекты.

3. Нажмите кнопку Создать задачу исправления в верхней части страницы, чтобы открыть страницу Новая задача исправления.

4. Выполните действия, чтобы указать сведения о задаче исправления.

Вариант 3. Создание задачи исправления в процессе назначения политики

Если определение политики или инициативы для назначения имеет deployIfNotExists или действуетmodify, вкладка "Исправление" мастера предлагает параметр задачи "Создать задачу исправления", которая создает задачу исправления одновременно с назначением политики.

Примечание.

Это самый простой способ для создания задачи исправления, который поддерживается для политик, назначенных в подписке. Для политик, назначенных группе управления, задачи исправления нужно создавать с помощью варианта 1 или варианта 2 после того, как оценка определит соответствие ресурса.

1. В мастере назначения на портале перейдите на вкладку Исправление. Установите флажок Создать задачу исправления.

2. Если задача исправления инициируется из назначения инициативы, выберите политику для исправления из раскрывающегося списка.

3. Настройте управляемое удостоверение и укажите остальные сведения в мастере. Задача исправления создается при создании назначения.

Шаг 2. Указание сведений о задаче исправления

Этот шаг применим только при использовании варианта 1 или варианта 2 для запуска создания задачи исправления.

1. Если задача исправления инициируется из назначения инициативы, выберите политику для исправления из раскрывающегося списка. Одно deployIfNotExists или modify политика можно исправить с помощью одной задачи исправления за раз.

2. При необходимости измените параметры исправления на странице. Сведения о том, какие элементы управления параметрами задаются, см . в структуре задач исправления.

3. На странице той же странице отфильтруйте ресурсы, которые нужно исправить, используя многоточие возле поля Область, чтобы выбрать дочерние ресурсы, которым была присвоена политика (в том числе отдельные объекты ресурса). Кроме того, используйте раскрывающийся список Расположения, чтобы дополнительно отфильтровать ресурсы.

   

4. Начните задачу исправления после фильтрации ресурсов, нажав кнопку "Исправить". Откроется страница соответствия политики со вкладкой Задачи исправления, где отображается состояние хода выполнения задач. Развертывания, созданные задачей исправления, немедленно запускаются.

   

Шаг 3. Отслеживание хода выполнения задачи исправления

1. Перейдите на вкладку Задачи исправления на странице Исправление. Выберите задачу исправления, чтобы просмотреть сведения об используемом фильтре, текущем состоянии и списке ресурсов, которые будут исправлены.

2. На странице сведений задачи исправления щелкните ресурс правой кнопкой мыши, чтобы просмотреть развертывание или ресурс задачи обновления. В конце записи щелкните Связанные события, чтобы просмотреть сведения, например сообщение об ошибке.

   

Ресурсы, развернутые посредством задачи исправления, добавляются на вкладку Развернутые ресурсы на странице сведений о назначении политики.

PowerShell

Чтобы создать задачу исправления с помощью Azure PowerShell, используйте команды Start-AzPolicyRemediation. Замените {subscriptionId} идентификатором подписки и {myAssignmentId} идентификатором deployIfNotExists modify назначения политики.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Вы также можете настроить параметры исправления с помощью следующих необязательных параметров:

• -FailureThreshold — Используется для указания того, должна ли задача исправления завершиться ошибкой, если процент сбоев превышает заданное пороговое значение. Укажите число от 0 до 100. По умолчанию пороговое значение для ошибок равно 100 %.
• -ResourceCount — определяет, сколько несоответствующих ресурсов для исправления в данной задаче исправления. Значение по умолчанию равно 500 (предыдущий предел). Максимальное число ресурсов равно 50 000.
• -ParallelDeploymentCount — определяет, сколько ресурсов необходимо исправить одновременно. Допустимые значения — от 1 до 30 ресурсов одновременно. Значение по умолчанию — 10.

Дополнительные командлеты и примеры исправления см. в документации по модулю Az.PolicyInsights.

Azure CLI

Чтобы создать задачу исправления с помощью Azure CLI, используйте команды az policy remediation. Замените {subscriptionId} идентификатором подписки и {myAssignmentId} идентификатором deployIfNotExists modify назначения политики.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Дополнительные команды и примеры исправления см. в документации по командам az policy remediation.

Следующие шаги

• Изучите примеры на странице примеров Политики Azure.
• Изучите статью о структуре определения Политики Azure.
• Изучите сведения о действии политик.
• Узнайте о программном создании политик.
• Узнайте, как получать данные о соответствии.
• Дополнительные сведения о группе управления см. в статье Упорядочивание ресурсов с помощью групп управления Azure.