Åtgärda icke-kompatibla resurser med Azure Policy

Resurser som inte är kompatibla med principer med deployIfNotExists eller ändringseffekter kan placeras i ett kompatibelt tillstånd via Reparation. Reparationen utförs genom reparationsåtgärder som distribuerar mallen deployIfNotExists eller ändringsåtgärderna för den tilldelade principen för dina befintliga resurser och prenumerationer, oavsett om tilldelningen finns i en hanteringsgrupp, prenumeration, resursgrupp eller enskild resurs. Den här artikeln visar de steg som krävs för att förstå och utföra reparation med Azure Policy.

Så här fungerar åtkomstkontroll för reparation

När Azure Policy startar en malldistribution när du utvärderar distribueraIfNotExists-principer eller ändrar en resurs när du utvärderar ändringsprinciper , gör den det med hjälp av en hanterad identitet som är associerad med principtilldelningen. Principtilldelningar använder hanterade identiteter för Azure-resursauktorisering. Du kan använda antingen en systemtilldelad hanterad identitet som skapas av principtjänsten eller en användartilldelad identitet som tillhandahålls av användaren. Den hanterade identiteten måste tilldelas de minsta RBAC-rollerna (rollbaserad åtkomstkontroll) som krävs för att reparera resurser. Om den hanterade identiteten saknar roller visas ett fel i portalen under tilldelningen av principen eller ett initiativ. När du använder portalen beviljar Azure Policy automatiskt den hanterade identiteten de angivna rollerna när tilldelningen startar. När du använder ett Azure Software Development Kit (SDK) måste rollerna beviljas manuellt till den hanterade identiteten. Platsen för den hanterade identiteten påverkar inte dess åtgärd med Azure Policy.

Kommentar

Om du ändrar en principdefinition uppdateras inte tilldelningen automatiskt eller den associerade hanterade identiteten.

Reparationssäkerhet kan konfigureras genom följande steg:

• Konfigurera principdefinitionen
• Konfigurera den hanterade identiteten
• Bevilja behörigheter till den hanterade identiteten via definierade roller
• Skapa en reparationsaktivitet

Konfigurera principdefinitionen

Som en förutsättning måste principdefinitionen definiera de roller som distribuerarIfNotExists och ändra behovet av att distribuera innehållet i den inkluderade mallen. Ingen åtgärd krävs för en inbyggd principdefinition eftersom dessa roller är ifyllda i förväg. För en anpassad principdefinition lägger du till en roleDefinitionIds-egenskap under egenskapen details. Den här egenskapen är en matris med strängar som matchar roller i din miljö. Ett fullständigt exempel finns i exemplet deployIfNotExists eller ändra exemplen.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

Egenskapen roleDefinitionIds använder den fullständiga resursidentifieraren och tar inte rollens korta roleName . Om du vill hämta ID:t för rollen Deltagare i din miljö använder du följande Azure CLI-kod:

az role definition list --name "Contributor"

Viktigt!

Behörigheter bör begränsas till minsta möjliga uppsättning när du definierar roleDefinitionIds i en principdefinition eller tilldelar behörigheter till en hanterad identitet manuellt. Mer metodtips finns i rekommendationer för bästa praxis för hanterade identiteter.

Konfigurera den hanterade identiteten

Varje Azure Policy-tilldelning kan bara associeras med en hanterad identitet. Den hanterade identiteten kan dock tilldelas flera roller. Konfigurationen sker i två steg: skapa först antingen en systemtilldelad eller användartilldelad hanterad identitet och ge den sedan nödvändiga roller.

Kommentar

När du skapar en hanterad identitet via portalen beviljas roller automatiskt till den hanterade identiteten. Om roleDefinitionIds senare redigeras i principdefinitionen måste de nya behörigheterna beviljas manuellt, även i portalen.

Skapa den hanterade identiteten

Portal

När du skapar en tilldelning med hjälp av portalen kan Azure Policy generera en systemtilldelad hanterad identitet och ge den de roller som definierats i principdefinitionens roleDefinitionIds. Du kan också ange en användartilldelad hanterad identitet som tar emot samma rolltilldelning.

Så här anger du en systemtilldelad hanterad identitet i portalen:

1. På fliken Reparation i vyn Skapa/redigera tilldelning, under Typer av hanterad identitet, kontrollerar du att Systemtilldelad hanterad identitet är markerad.

2. Ange den plats där den hanterade identiteten ska finnas.

3. Tilldela inte något omfång för systemtilldelad hanterad identitet eftersom omfånget ärvs från tilldelningsomfånget.

Så här anger du en användartilldelad hanterad identitet i portalen:

1. På fliken Reparation i vyn skapa/redigera tilldelning under Typer av hanterad identitet kontrollerar du att Användartilldelad hanterad identitet är markerad.

2. Ange omfånget där den hanterade identiteten finns. Omfånget för den hanterade identiteten behöver inte motsvara tilldelningens omfång, men det måste finnas i samma klientorganisation.

3. Under Befintliga användartilldelade identiteter väljer du den hanterade identiteten.

PowerShell

Om du vill skapa en identitet under tilldelningen av principen måste plats definieras och identitet användas.

I följande exempel hämtas definitionen av den inbyggda principen Distribuera transparent datakryptering i SQL DB, anger målresursgruppen och skapar sedan tilldelningen med hjälp av en systemtilldelad hanterad identitet.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

I följande exempel hämtas definitionen av den inbyggda principen Distribuera transparent SQL DB-datakryptering, anger målresursgruppen och skapar sedan tilldelningen med hjälp av en användartilldelad hanterad identitet.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Variabeln $assignment innehåller nu huvud-ID:t för den hanterade identiteten tillsammans med standardvärdena som returneras när du skapar en principtilldelning. Den kan nås via $assignment.Identity.PrincipalId för systemtilldelade hanterade identiteter och $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId för användartilldelade hanterade identiteter.

Azure CLI

Om du vill skapa en identitet under tilldelningen av principen använder du az policy assignment create-kommandon med parametrarna --location, --mi-system-assigned, --mi-user-assigned och --identity-scope beroende på om den hanterade identiteten ska vara systemtilldelad eller användartilldelad.

Om du vill lägga till en systemtilldelad identitet eller en användartilldelad identitet i en principtilldelning följer du exemplet az policy assignment identity assign-kommandon .

Bevilja behörigheter till den hanterade identiteten via definierade roller

Viktigt!

Om den hanterade identiteten inte har de behörigheter som krävs för att köra den nödvändiga reparationsuppgiften beviljas den endast behörigheter automatiskt via portalen. Du kan hoppa över det här steget om du skapar en hanterad identitet via portalen.

För alla andra metoder måste tilldelningens hanterade identitet beviljas manuellt åtkomst genom tillägg av roller, annars misslyckas reparationsdistributionen.

Exempelscenarier som kräver manuella behörigheter:

• Om tilldelningen skapas via ett Azure-programutvecklingspaket (SDK)
• Om en resurs som ändrats av deployIfNotExists eller ändrar ligger utanför omfånget för principtilldelningen
• Om mallen har åtkomst till egenskaper för resurser utanför principtilldelningens omfång

Portal

Det finns två sätt att bevilja en tilldelnings hanterade identitet de definierade rollerna med hjälp av portalen: genom att använda Åtkomstkontroll (IAM) eller genom att redigera princip- eller initiativtilldelningen och välja Spara.

Följ dessa steg om du vill lägga till en roll i tilldelningens hanterade identitet:

1. Starta Azure Policy-tjänsten i Azure-portalen genom att välja Alla tjänster och sedan söka efter och välja Princip.

2. Välj Tilldelningar till vänster på sidan Azure Policy.

3. Leta upp tilldelningen som har en hanterad identitet och välj namnet.

4. Leta upp egenskapen Tilldelnings-ID på redigeringssidan. Tilldelnings-ID:t kommer att se ut ungefär så här:

   /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Namnet på den hanterade identiteten är den sista delen av tilldelningsresurs-ID:t, som finns 2802056bfc094dfb95d4d7a5 i det här exemplet. Kopiera den här delen av tilldelningsresurs-ID:t.

5. Navigera till resursen eller den överordnade resurscontainern (resursgrupp, prenumeration, hanteringsgrupp) som behöver rolldefinitionen manuellt tillagd.

6. Välj länken Åtkomstkontroll (IAM) på resurssidan och välj sedan + Lägg till rolltilldelning överst på åtkomstkontrollsidan.

7. Välj lämplig roll som matchar ett roleDefinitionId från principdefinitionen. Lämna Tilldela åtkomst för att ange standardvärdet "Azure AD-användare, grupp eller program". I rutan Välj klistrar du in eller skriver in den del av tilldelningsresurs-ID:t som fanns tidigare. När sökningen är klar väljer du objektet med samma namn för att välja ID och väljer Spara.

PowerShell

Den nya hanterade identiteten måste slutföra replikeringen via Azure Active Directory innan den kan beviljas de roller som behövs. När replikeringen är klar itererar följande exempel principdefinitionen i $policyDef för roleDefinitionIds och använder New-AzRoleAssignment för att ge den nya hanterade identiteten rollerna.

Mer specifikt visar det första exemplet hur du beviljar roller i principomfånget. Det andra exemplet visar hur du beviljar roller på initiativomfånget (principuppsättningen).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Den nya hanterade identiteten måste slutföra replikeringen via Azure Active Directory innan den kan beviljas de roller som behövs. När replikeringen är klar bör de roller som anges i principdefinitionens roleDefinitionIds beviljas till den hanterade identiteten.

Få åtkomst till de roller som anges i principdefinitionen med kommandot az policy definition show och iterera sedan över varje roleDefinitionId för att skapa rolltilldelningen med kommandot az role assignment create .

Skapa en reparationsaktivitet

Portal

Starta Azure Policy-tjänsten i Azure-portalen genom att välja Alla tjänster och sedan söka efter och välja Princip.

Steg 1: Initiera skapande av reparationsaktivitet

Det finns tre sätt att skapa en reparationsuppgift via portalen.

Alternativ 1: Skapa en reparationsaktivitet från sidan Reparation

1. Välj Reparation till vänster på sidan Azure Policy.

   

2. Alla deployIfNotExists och ändra principtilldelningar visas på fliken Principer för att åtgärda . Välj en med resurser som inte är kompatibla för att öppna sidan Ny reparationsaktivitet .

3. Följ stegen för att ange information om reparationsaktiviteten.

Alternativ 2: Skapa en reparationsaktivitet från en principtilldelning som inte är kompatibel

1. Välj Efterlevnad till vänster på sidan Azure Policy.

2. Välj en icke-kompatibel princip eller initiativtilldelning som innehåller deployIfNotExists eller ändra effekter.

3. Välj knappen Skapa reparationsaktivitet överst på sidan för att öppna sidan Ny reparationsaktivitet.

4. Följ stegen för att ange information om reparationsaktiviteten.

Alternativ 3: Skapa en reparationsaktivitet under principtilldelningen

Om den princip- eller initiativdefinition som ska tilldelas har en deployIfNotExists- eller ändringseffekt, erbjuder fliken Reparation i guiden alternativet Skapa en reparationsaktivitet, vilket skapar en reparationsaktivitet samtidigt som principtilldelningen.

Kommentar

Det här är den mest effektiva metoden för att skapa en reparationsuppgift och stöds för principer som tilldelats för en prenumeration. För principer som tilldelats en hanteringsgrupp bör reparationsuppgifter skapas med alternativ 1 eller alternativ 2 när utvärderingen har fastställt resursefterlevnad.

1. I tilldelningsguiden i portalen går du till fliken Reparation . Markera kryssrutan för Skapa en reparationsaktivitet.

2. Om reparationsaktiviteten initieras från en initiativtilldelning väljer du den princip som ska åtgärdas i listrutan.

3. Konfigurera den hanterade identiteten och fyll i resten av guiden. Reparationsaktiviteten skapas när tilldelningen skapas.

Steg 2: Ange information om reparationsaktivitet

Det här steget gäller endast när du använder alternativ 1 eller alternativ 2 för att initiera skapande av reparationsaktivitet.

1. Om reparationsaktiviteten initieras från en initiativtilldelning väljer du den princip som ska åtgärdas i listrutan. En deployIfNotExists - eller ändringsprincip kan åtgärdas via en enskild reparationsaktivitet i taget.

2. Du kan också ändra reparationsinställningarna på sidan. Information om vad varje inställning styr finns i Åtgärdsaktivitetsstruktur.

3. På samma sida filtrerar du de resurser som ska åtgärdas med hjälp av omfångsellipserna för att välja underordnade resurser där principen har tilldelats (inklusive ned till de enskilda resursobjekten). Använd listrutan Platser för att filtrera resurserna ytterligare.

   

4. Påbörja reparationsaktiviteten när resurserna har filtrerats genom att välja Åtgärda. Sidan principefterlevnad öppnas på fliken Reparationsåtgärder för att visa status för aktiviteternas förlopp. Distributioner som skapats av reparationsaktiviteten börjar direkt.

   

Steg 3: Spåra åtgärdsaktivitetens förlopp

1. Gå till fliken Reparationsåtgärder på sidan Reparation . Klicka på en reparationsaktivitet för att visa information om den filtrering som används, aktuell status och en lista över resurser som åtgärdas.

2. På sidan Reparationsaktivitetsinformation högerklickar du på en resurs för att visa antingen reparationsaktivitetens distribution eller resursen. I slutet av raden väljer du Relaterade händelser för att se information, till exempel ett felmeddelande.

   

Resurser som distribueras via en reparationsaktivitet läggs till på fliken Distribuerade resurser på sidan information om principtilldelning.

PowerShell

Om du vill skapa en reparationsuppgift med Azure PowerShell använder du kommandona Start-AzPolicyRemediation . Ersätt {subscriptionId} med ditt prenumerations-ID och {myAssignmentId} med ditt deployIfNotExists eller ändra principtilldelnings-ID.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Du kan också välja att justera reparationsinställningarna via följande valfria parametrar:

• -FailureThreshold – Används för att ange om reparationsaktiviteten ska misslyckas om procentandelen fel överskrider det angivna tröskelvärdet. Anges som ett tal mellan 0 och 100. Som standard är tröskelvärdet för fel 100 %.
• -ResourceCount – Avgör hur många icke-kompatibla resurser som ska åtgärdas i en viss reparationsuppgift. Standardvärdet är 500 (den tidigare gränsen). Det maximala antalet är 50 000 resurser.
• -ParallelDeploymentCount – Avgör hur många resurser som ska åtgärdas samtidigt. De tillåtna värdena är mellan 1 och 30 resurser åt gången. Standardvärdet är 10.

Mer information om cmdletar och exempel för reparation finns i modulen Az.PolicyInsights .

Azure CLI

Använd kommandona för az policy remediation att skapa en reparationsuppgift med Azure CLI. Ersätt {subscriptionId} med ditt prenumerations-ID och {myAssignmentId} med ditt deployIfNotExists eller ändra principtilldelnings-ID.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Fler reparationskommandon och exempel finns i az policy remediation-kommandona .

Nästa steg

• Granska exempel i Azure Policy-exempel.
• Granska Azure Policy-definitionsstrukturen.
• Granska Förstå policy-effekter.
• Förstå hur du programmatiskt skapar principer.
• Lär dig hur du hämtar efterlevnadsdata.
• Granska vad en hanteringsgrupp är med Organisera dina resurser med Azure-hanteringsgrupper.