Åtgärda icke-kompatibla resurser med Azure Policy

Resurser som inte är kompatibla med principer med deployIfNotExists eller modify effekter kan placeras i ett kompatibelt tillstånd via Reparation. Åtgärdandet utförs genom reparationsåtgärder som distribuerar mallen deployIfNotExists eller åtgärderna modify för den tilldelade principen på dina befintliga resurser och abonnemang, oavsett om denna tilldelning gäller en hanteringsgrupp, abonnemang, resursgrupp eller enskild resurs. Den här artikeln visar de steg som krävs för att förstå och utföra reparation med Azure Policy.

Så här fungerar åtkomstkontroll för reparation

När Azure Policy startar en malldistribution när du utvärderar deployIfNotExists principer eller ändrar en resurs vid utvärdering av modify principer, gör den det med hjälp av en hanterad identitet som är associerad med principtilldelningen. Observera att även om tilldelningens identitet används för resursdistribution eller ändring används den inte för utvärdering av principdefinitionen och dess existensvillkor. Principevalutation använder identiteten för anroparen som initierade API-begäran.

Principtilldelningar använder hanterade identiteter för Azure-resursauktorisering under reparationen. Du kan använda antingen en systemtilldelad hanterad identitet som skapats av principtjänsten eller en användartilldelad identitet som tillhandahålls av användaren. Den hanterade identiteten måste tilldelas den minsta rollbaserade åtkomstkontrollrollen för Azure (Azure RBAC) som krävs för att åtgärda resurser. Om den hanterade identiteten saknar roller visas ett fel i portalen under tilldelningen av policyn eller ett initiativ. När du använder portalen beviljar Azure Policy automatiskt den hanterade identiteten de listade rollerna när tilldelningen startar. När du använder ett Azure-programutvecklingspaket (SDK) måste rollerna beviljas manuellt till den hanterade identiteten. Platsen för den hanterade identiteten påverkar inte dess åtgärd med Azure Policy.

Kommentar

Om du ändrar en principdefinition uppdateras inte tilldelningen automatiskt eller den associerade hanterade identiteten.

Reparationssäkerhet kan konfigureras genom följande steg:

• Konfigurera principdefinitionen
• Konfigurera den hanterade identiteten
• Bevilja behörigheter till den hanterade identiteten via definierade roller
• Skapa en reparationsaktivitet

Konfigurera principdefinitionen

Som en förutsättning måste principdefinitionen definiera de roller som deployIfNotExists och modify behöver för att framgångsrikt distribuera innehållet i den medföljande mallen. Ingen åtgärd krävs för en inbyggd principdefinition eftersom dessa roller är ifyllda i förväg. För en anpassad principdefinition, under egenskapen details, lägg till en roleDefinitionIds egenskap. Den här egenskapen är en matris med strängar som matchar roller i din miljö. Ett fullständigt exempel finns i deployIfNotExists eller modify.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

Egenskapen roleDefinitionIds använder den fullständiga resursidentifieraren och accepterar inte den korta roleName för rollen. Om du vill hämta ID:t för deltagarrollen i din miljö använder du följande Azure CLI-kod:

az role definition list --name "Contributor"

Viktigt!

Behörigheter bör begränsas till den minsta möjliga uppsättningen när du definierar roleDefinitionIds i en principdefinition eller tilldelar behörigheter till en hanterad identitet manuellt. Mer metodtips finns i rekommendationer för bästa praxis för hanterade identiteter.

Konfigurera den hanterade identiteten

Varje Azure Policy-tilldelning kan bara associeras med en hanterad identitet. Den hanterade identiteten kan dock tilldelas flera roller. Konfigurationen sker i två steg: skapa först antingen en systemtilldelad eller användartilldelad hanterad identitet och ge den sedan nödvändiga roller.

Kommentar

När du skapar en hanterad identitet via portalen beviljas roller automatiskt till den hanterade identiteten. Om roleDefinitionIds senare redigeras i policyns definition måste de nya behörigheterna beviljas manuellt, även i portalen.

Skapa den hanterade identiteten

Portal

När du skapar en tilldelning med hjälp av portalen kan Azure Policy generera en systemtilldelad hanterad identitet och ge den de roller som definierats i principdefinitionens roleDefinitionIds. Du kan också ange en användartilldelad hanterad identitet som tar emot samma rolltilldelning.

Så här anger du en systemtilldelad hanterad identitet i portalen:

1. På fliken Reparation i vyn Skapa/redigera tilldelning, under Typer av hanterad identitet, kontrollerar du att Systemtilldelad hanterad identitet är markerad.

2. Ange den plats där den hanterade identiteten ska finnas.

3. Tilldela inte något omfång för systemtilldelad hanterad identitet eftersom omfånget ärvs från tilldelningsomfånget.

Så här anger du en användartilldelad hanterad identitet i portalen:

1. På fliken Reparation i vyn skapa/redigera tilldelning under Typer av hanterad identitet kontrollerar du att Användartilldelad hanterad identitet är markerad.

2. Ange omfånget där den hanterade identiteten finns. Omfånget för den hanterade identiteten behöver inte motsvara tilldelningens omfång, men det måste finnas i samma tenant.

3. Under Befintliga användartilldelade identiteter väljer du den hanterade identiteten.

PowerShell

Om du vill skapa en identitet under tilldelningen av policyn måste plats definieras och identitet användas.

I följande exempel hämtas definitionen av den inbyggda principen Distribuera transparent datakryptering i SQL DB, anger målresursgruppen och skapar sedan tilldelningen med hjälp av en systemtilldelad hanterad identitet.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

I följande exempel hämtas definitionen av den inbyggda principen Distribuera transparent SQL DB-datakryptering, anger målresursgruppen och skapar sedan tilldelningen med hjälp av en användartilldelad hanterad identitet.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Variabeln $assignment innehåller nu huvud-ID:t för den hanterade identiteten tillsammans med standardvärdena som returneras när du skapar en principtilldelning. Den kan nås via $assignment.Identity.PrincipalId för systemtilldelade hanterade identiteter och $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId för användartilldelade hanterade identiteter.

Azure CLI

Om du vill skapa en identitet under tilldelningen av principen använder du az policy assignment create-kommandon med parametrarna --location, --mi-system-assigned, --mi-user-assignedoch --identity-scope beroende på om den hanterade identiteten ska vara systemtilldelad eller användartilldelad.

Om du vill lägga till en systemtilldelad identitet eller en användartilldelad identitet i en principtilldelning följer du exemplet az policy assignment identity assign-kommandon .

Bevilja behörigheter till den hanterade identiteten via definierade roller

Viktigt!

Om den hanterade identiteten inte har de behörigheter som krävs för att köra den nödvändiga reparationsuppgiften beviljas den endast behörigheter automatiskt via portalen. Du kan hoppa över det här steget om du skapar en hanterad identitet via portalen.

För alla andra metoder måste tilldelningens hanterade identitet manuellt beviljas åtkomst genom att lägga till roller, annars misslyckas återställningsimplementeringen.

Exempelscenarier som kräver manuella behörigheter:

• Om tilldelningen skapas via ett Azure-programutvecklingspaket (SDK)
• Om en resurs har ändrats av deployIfNotExists eller modify ligger utanför omfånget för principtilldelningen
• Om mallen har åtkomst till egenskaper för resurser utanför principtilldelningens omfång

Portal

Det finns två sätt att bevilja en tilldelningshanterad identitet de definierade rollerna genom portalen: genom att använda Åtkomstkontroll (IAM) eller genom att redigera princip- eller initiativtilldelningen och välja Spara.

Följ dessa steg om du vill lägga till en roll i tilldelningens hanterade identitet:

1. Starta Azure Policy-tjänsten i Azure Portal genom att välja Alla tjänster och sedan söka efter och välja Princip.

2. Välj Tilldelningar till vänster på sidan Azure Policy.

3. Identifiera tilldelningen som har en hanterad identitet och välj namnet.

4. Leta upp egenskapen Tilldelnings-ID på redigeringssidan. Tilldelnings-ID:t ser ut som i följande exempel:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Namnet på den hanterade identiteten är den sista delen av tilldelningsresurs-ID:t, som finns 2802056bfc094dfb95d4d7a5 i det här exemplet. Kopiera den här delen av tilldelningsresurs-ID:t.

5. Navigera till resursen eller den överordnade resurscontainern (resursgrupp, prenumeration, hanteringsgrupp) som behöver rolldefinitionen manuellt tillagd.

6. Välj länken Åtkomstkontroll (IAM) på resurssidan och välj sedan + Lägg till rolltilldelning överst på åtkomstkontrollsidan.

7. Välj lämplig roll som matchar en roleDefinitionIds från principdefinitionen. Låt Tilldela åtkomst till vara standardinställningen "användare, grupp eller applikation". I rutan Välj klistrar du in eller skriver in den del av tilldelningsresurs-ID:t som fanns tidigare. När sökningen är klar väljer du objektet med samma namn för att välja ID och väljer Spara.

PowerShell

Den nya hanterade identiteten måste slutföra replikeringen via Microsoft Entra-ID innan den kan beviljas de roller som behövs. När replikeringen är klar itererar följande exempel principdefinitionen i $policyDef för roleDefinitionIds och använder New-AzRoleAssignment för att tilldela den nya hanterade identiteten sina roller.

Mer specifikt visar det första exemplet hur du beviljar roller i principomfånget. Det andra exemplet visar hur du beviljar roller på initiativets (policyuppsättningens) omfång.

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Den nya hanterade identiteten måste slutföra replikeringen via Microsoft Entra-ID innan den kan beviljas de roller som behövs. När replikeringen är klar ska de roller som anges i principdefinitionen roleDefinitionIds beviljas till den hanterade identiteten.

Få åtkomst till de roller som anges i principdefinitionen med kommandot az policy definition show och iterera sedan över var och en roleDefinitionIds för att skapa rolltilldelningen med kommandot az role assignment create .

Skapa en reparationsaktivitet

Portal

Starta Azure Policy-tjänsten i Azure Portal genom att välja Alla tjänster och sedan söka efter och välja Princip.

Steg 1: Initiera skapande av reparationsaktivitet

Det finns tre sätt att skapa en reparationsuppgift via portalen.

Alternativ 1: Skapa en reparationsaktivitet från sidan Reparation

1. Välj Reparation till vänster på sidan Azure Policy.

   

2. Alla deployIfNotExists och modify policys visas på fliken Policys för åtgärd. Välj en med resurser som inte uppfyller kraven för att öppna sidan Ny åtgärdsuppgift.

3. Följ stegen för att ange information om reparationsaktiviteten.

Alternativ 2: Skapa en åtgärdsuppgift från en icke-kompatibel policytilldelning

1. Välj Efterlevnad till vänster på sidan Azure Policy.

2. Välj en icke-kompatibel princip eller initiativtilldelning som innehåller deployIfNotExists eller modify effekter.

3. Välj knappen Skapa reparationsaktivitet överst på sidan för att öppna sidan Ny reparationsaktivitet.

4. Följ stegen för att ange information om reparationsaktiviteten.

Alternativ 3: Skapa en reparationsaktivitet under principtilldelningen

Om definitionsprincipen eller initiativet som ska tilldelas har en deployIfNotExists eller modify effekt, erbjuder fliken Reparation i guiden alternativet Skapa en reparationsaktivitet, vilket skapar en reparationsaktivitet samtidigt som principtilldelningen.

Kommentar

Det här är den mest effektiva metoden för att skapa en reparationsuppgift och stöds för policys som tilldelats för en prenumeration. För principer som tilldelats en hanteringsgrupp bör reparationsuppgifter skapas med alternativ 1 eller alternativ 2 när utvärderingen har fastställt resursefterlevnad.

1. I tilldelningsguiden i portalen går du till fliken Reparation . Markera kryssrutan för Skapa en reparationsaktivitet.

2. Om reparationsaktiviteten initieras från en initiativtilldelning väljer du den princip som ska åtgärdas i listrutan.

3. Konfigurera den hanterade identiteten och fyll i resten av guiden. Åtgärdsuppgiften skapas när tilldelningen skapas.

Steg 2: Ange information om reparationsaktivitet

Det här steget gäller endast när du använder alternativ 1 eller alternativ 2 för att initiera skapande av reparationsaktivitet.

1. Om reparationsaktiviteten initieras från en initiativtilldelning väljer du den princip som ska åtgärdas i listrutan. En deployIfNotExists eller modify princip kan korrigeras via en enskild korrigeringsuppgift i taget.

2. Du kan också ändra reparationsinställningarna på sidan. Information om vad varje inställning styr finns i Åtgärdsaktivitetsstruktur.

3. På samma sida filtrerar du de resurser som ska åtgärdas med hjälp av omfångsellipserna för att välja underordnade resurser där principen har tilldelats (inklusive ned till de enskilda resursobjekten). Använd listrutan Platser för att filtrera resurserna ytterligare.

   

4. Påbörja reparationsaktiviteten när resurserna har filtrerats genom att välja Åtgärda. Sidan principefterlevnad öppnas på fliken Reparationsåtgärder för att visa status för aktiviteternas förlopp. Distributioner som har skapats av åtgärdsuppgiften startar omedelbart.

   

Steg 3: Spåra åtgärdsaktivitetens förlopp

1. Gå till fliken Reparationsåtgärder på sidan Reparation . Välj en reparationsaktivitet för att visa information om filtreringen som används, aktuell status och en lista över resurser som åtgärdas.

2. På sidan Reparationsaktivitetsinformation högerklickar du på en resurs för att visa antingen reparationsaktivitetens distribution eller resursen. I slutet av raden väljer du Relaterade händelser för att se information, till exempel ett felmeddelande.

   

Resurser som distribueras via en reparationsaktivitet läggs till på fliken Distribuerade resurser på sidan information om principtilldelning.

PowerShell

Om du vill skapa en reparationsuppgift med Azure PowerShell använder du kommandona Start-AzPolicyRemediation . Ersätt {subscriptionId} med ditt prenumerations-ID och {myAssignmentId} med ditt deployIfNotExists eller modify principtilldelnings-ID.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemediation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Du kan också välja att justera reparationsinställningarna via följande valfria parametrar:

• -FailureThreshold – Används för att ange om reparationsaktiviteten ska misslyckas om procentandelen fel överskrider det angivna tröskelvärdet. Anges som ett tal mellan 0 och 100. Som standard är tröskelvärdet för fel 100 %.
• -ResourceCount – Avgör hur många icke-kompatibla resurser som ska åtgärdas i en viss reparationsuppgift. Standardvärdet är 500 (den tidigare gränsen). Det maximala antalet är 50 000 resurser.
• -ParallelDeploymentCount – Avgör hur många resurser som ska åtgärdas samtidigt. De tillåtna värdena är mellan 1 och 30 resurser åt gången. Standardvärdet är 10.

För mer information om åtgärds-cmdletar och exempel, se modulen Az.PolicyInsights.

Azure CLI

Använd kommandona för att skapa en az policy remediation med Azure CLI. Ersätt {subscriptionId} med ditt prenumerations-ID och {myAssignmentId} med ditt deployIfNotExists eller modify principtilldelnings-ID.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Fler reparationskommandon och exempel finns i az policy remediation-kommandona .

Nästa steg

• Granska exempel i Azure Policy-exempel.
• Granska strukturen för Azure Policy-definitionen.
• Granska Förstå policy-effekter.
• Förstå hur du programmatiskt skapar principer.
• Lär dig hur du hämtar efterlevnadsdata.
• Granska vad en hanteringsgrupp är med Organisera dina resurser med Azure-hanteringsgrupper.