Yönetilen kimlikleri atamak için Azure İlkesi kullanma (önizleme)
Azure İlkesi, kuruluş standartlarını zorunlu kılmaya ve uyumluluğu büyük ölçekte değerlendirmeye yardımcı olur. Azure ilkesi, uyumluluk panosu aracılığıyla yöneticilerin ortamın genel durumunu değerlendirmesine yardımcı olan toplu bir görünüm sağlar. Kaynak başına, ilke başına ayrıntı düzeyinde detaya gidebilirsiniz. Ayrıca mevcut kaynaklar için toplu düzeltme ve yeni kaynaklar için otomatik düzeltme yoluyla kaynaklarınızın uyumlu hale getirilmesine yardımcı olur. Azure İlkesi için yaygın kullanım örnekleri şunlar için idareyi uygulamayı içerir:
- Kaynak tutarlılığı
- Mevzuata uyumluluk
- Güvenlik
- Maliyet
- Yönetim
Bu yaygın kullanım örneklerine yönelik ilke tanımları, kullanmaya başlamanıza yardımcı olmak için Azure ortamınızda zaten kullanılabilir.
Azure İzleme Aracıları, izlenen Azure Sanal Makineler (VM) üzerinde yönetilen kimlik gerektirir. Bu belgede, Microsoft tarafından sağlanan ve bu senaryolar için gereken yönetilen kimliğin büyük ölçekte VM'lere atanmasını sağlamaya yardımcı olan yerleşik bir Azure İlkesi davranışı açıklanmaktadır.
Sistem tarafından atanan yönetilen kimliği kullanmak mümkün olsa da, uygun ölçekte kullanıldığında (örneğin, bir abonelikteki tüm VM'ler için) Microsoft Entra Id'de çok sayıda kimlik oluşturulur (ve silinir). Bu kimlik değişim sıklığından kaçınmak için, bir kez oluşturulabilen ve birden çok VM arasında paylaşılabilen kullanıcı tarafından atanan yönetilen kimliklerin kullanılması önerilir.
Not
Azure bölgesi başına Azure aboneliği başına kullanıcı tarafından atanan yönetilen kimlik kullanmanızı öneririz.
İlke, bu öneriyi uygulamak için tasarlanmıştır.
İlke tanımı ve ayrıntıları
İlke yürütülürken aşağıdaki eylemleri gerçekleştirir:
- Yoksa, ilke kapsamındaki VM'leri temel alarak abonelikte ve her Azure bölgesinde yeni bir yerleşik kullanıcı tarafından atanan yönetilen kimlik oluşturun.
- Oluşturulduktan sonra, kullanıcı tarafından atanan yönetilen kimliğe yanlışlıkla silinmemesi için bir kilit koyun.
- yerleşik kullanıcı tarafından atanan yönetilen kimliği, ilke kapsamındaki VM'leri temel alarak abonelikten ve bölgeden Sanal Makineler atayın.
Not
Sanal Makinede zaten 1 kullanıcı tarafından atanmış yönetilen kimlik varsa, ilke yerleşik kimliği atamak için bu VM'yi atlar. Bu, ilke atamasının I AVH üzerindeki belirteç uç noktasının varsayılan davranışına bağımlı olan uygulamaları bozmadığından emin olmaktır.
İlkeyi kullanmak için iki senaryo vardır:
- İlkenin "yerleşik" kullanıcı tarafından atanan yönetilen kimliği oluşturmasına ve kullanmasına izin verin.
- Kendi kullanıcı tarafından atanan yönetilen kimliğinizi getirin.
İlke aşağıdaki giriş parametrelerini alır:
- Kendi UAMI'nizi getirin mi? - İlke, yoksa yeni bir kullanıcı tarafından atanan yönetilen kimlik oluşturmalı mı?
- true olarak ayarlanırsa şunları belirtmeniz gerekir:
- Yönetilen kimliğin adı
- Yönetilen kimliğin oluşturulması gereken kaynak grubu.
- false olarak ayarlanırsa ek giriş gerekmez.
- İlke, "yerleşik kimlik-rg" adlı kaynak grubunda "yerleşik kimlik" adlı gerekli kullanıcı tarafından atanan yönetilen kimliği oluşturur.
İlkeyi kullanma
İlke ataması oluşturma
İlke tanımı, Yönetim grubu aboneliğinde veya belirli bir kaynak grubunda Azure'daki farklı kapsamlara atanabilir. İlkelerin her zaman zorlanması gerektiğinden atama işlemi, ilke atama nesnesiyle ilişkilendirilmiş yönetilen bir kimlik kullanılarak gerçekleştirilir. İlke atama nesnesi hem sistem tarafından atanan hem de kullanıcı tarafından atanan yönetilen kimliği destekler. Örneğin, Joe PolicyAssignmentMI adlı kullanıcı tarafından atanan bir yönetilen kimlik oluşturabilir. Yerleşik ilke, her abonelikte ve her bölgede ilke ataması kapsamındaki kaynakları içeren kullanıcı tarafından atanan bir yönetilen kimlik oluşturur. İlke tarafından oluşturulan kullanıcı tarafından atanan yönetilen kimlikler aşağıdaki resourceId biçimine sahiptir:
/subscriptions/your-subscription-id/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-{location}
Örneğin:
/subscriptions/aaaabbbb-aaaa-bbbb-1111-111122223333/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-eastus
Gerekli yetkilendirme
PolicyAssignmentMI yönetilen kimliğinin yerleşik ilkeyi belirtilen kapsamda atayabilmesi için, Azure RBAC (Azure rol tabanlı erişim denetimi) Rol Ataması olarak ifade edilen aşağıdaki izinlere sahip olması gerekir:
| Asıl | Rol / Eylem | Kapsam | Purpose |
|---|---|---|---|
| PolicyAssigmentMI | Yönetilen Kimlik İşleci | /subscription/subscription-id/resourceGroups/yerleşik kimlik VEYA Kendi kullanıcı adınızla yönetilen kimliği getirin |
Yerleşik kimliği VM'lere atamak için gereklidir. |
| PolicyAssigmentMI | Katılımcı | /subscription/subscription-id> | Abonelikte yerleşik yönetilen kimliği barındıran kaynak grubunu oluşturmak için gereklidir. |
| PolicyAssigmentMI | Yönetilen Kimlik Katkıda Bulunanı | /subscription/subscription-id/resourceGroups/yerleşik kimlik | Kullanıcı tarafından atanan yeni bir yönetilen kimlik oluşturmak için gereklidir. |
| PolicyAssigmentMI | Kullanıcı Erişimi Yöneticisi | /subscription/subscription-id/resourceGroups/yerleşik kimlik VEYA Kendi kullanıcı tarafından atanan yönetilen kimliğinizi getirme |
İlke tarafından oluşturulan kullanıcı tarafından atanan yönetilen kimlikte kilit ayarlamak için gereklidir. |
İlke atama nesnesinin bu izne önceden sahip olması gerektiğinden, PolicyAssignmentMI bu senaryo için sistem tarafından atanan yönetilen kimlik olamaz. İlke atama görevini gerçekleştiren kullanıcının yukarıdaki rol atamalarıyla önceden PolicyAssignmentMI yetkilendirmesi gerekir.
Gördüğünüz gibi gereken en düşük ayrıcalık rolü abonelik kapsamında "katkıda bulunan" rolüdür.
Bilinen sorunlar
Vm'ye atanan kimlikleri değiştiren başka bir dağıtımla olası yarış durumu beklenmeyen sonuçlara neden olabilir.
Aynı sanal makineyi güncelleştiren iki veya daha fazla paralel dağıtım varsa ve hepsi sanal makinenin kimlik yapılandırmasını değiştirirse, belirli yarış koşullarında, beklenen tüm kimliklerin makinelere atanmaması mümkündür. Örneğin, bu belgedeki ilke bir VM'nin yönetilen kimliklerini güncelleştiriyorsa ve aynı zamanda yönetilen kimlikler bölümünde başka bir işlem de değişiklik yapıyorsa, beklenen tüm kimliklerin VM'ye düzgün şekilde atanması garanti edilmemektedir.