uyumlu olmayan kaynakları Azure İlkesi ile düzeltme

veya modify etkileri olan ilkelerle deployIfNotExists uyumlu olmayan kaynaklar, Düzeltme aracılığıyla uyumlu bir duruma getirilebilir. Düzeltme, şablonu dağıtan düzeltme görevleri veya atamanın deployIfNotExists bir yönetim grubunda, abonelikte, kaynak grubunda veya modify tek bir kaynakta olmasına bakılmaksızın mevcut kaynaklarınızda ve aboneliklerinizde atanan ilkenin işlemleriyle gerçekleştirilir. Bu makalede, Azure İlkesi ile düzeltmeyi anlamak ve gerçekleştirmek için gereken adımlar gösterilmektedir.

Düzeltme erişim denetimi nasıl çalışır?

Azure İlkesi ilkeleri değerlendirirken şablon dağıtımı başlattığında veya ilkeleri değerlendirirken deployIfNotExists modify bir kaynağı değiştirdiğinde, ilke atamasıyla ilişkili yönetilen kimliği kullanarak bunu yapar. İlke atamaları yönetilen kimlikleri Azure kaynak yetkilendirmesi için kullanır. İlke hizmeti tarafından oluşturulan sistem tarafından atanan yönetilen kimliği veya kullanıcı tarafından sağlanan kullanıcı tarafından atanan bir kimliği kullanabilirsiniz. Yönetilen kimliğe kaynakları düzeltmek için gereken en düşük Azure rol tabanlı erişim denetimi (Azure RBAC) rolü atanmalıdır. Yönetilen kimliğin rolleri eksikse, ilkenin veya girişimin ataması sırasında portalda bir hata görüntülenir. Portalı kullandığınızda Azure İlkesi atama başladıktan sonra yönetilen kimliğe listelenen rolleri otomatik olarak verir. Azure yazılım geliştirme seti (SDK) kullandığınızda, rollerin yönetilen kimliğe el ile verilmesi gerekir. Yönetilen kimliğin konumu, Azure İlkesi ile olan işlemini etkilemez.

Not

İlke tanımının değiştirilmesi atamayı veya ilişkili yönetilen kimliği otomatik olarak güncelleştirmez.

Düzeltme güvenliği aşağıdaki adımlarla yapılandırılabilir:

• İlke tanımını yapılandırma
• Yönetilen kimliği yapılandırma
• Tanımlı roller aracılığıyla yönetilen kimliğe izin verme
• Düzeltme görevi oluşturma

İlke tanımını yapılandırma

Önkoşul olarak, ilke tanımının dahil edilen şablonun deployIfNotExists içeriğini başarıyla dağıtması gereken rolleri modify tanımlaması gerekir. Yerleşik ilke tanımı için eylem gerekmez çünkü bu roller önceden doldurulur. Özel ilke tanımı için özelliğinin details altına bir roleDefinitionIds özellik ekleyin. Bu özellik, ortamınızdaki rollerle eşleşen dize dizisidir. Tam bir örnek için bkz . deployIfNotExists veya modify.

"details": {
    ...
    "roleDefinitionIds": [
    "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
    "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
  ]
}

roleDefinitionIds özelliği tam kaynak tanımlayıcısını kullanır ve rolün kısasını roleName almaz. Ortamınızda Katkıda Bulunan rolünün kimliğini almak için aşağıdaki Azure CLI kodunu kullanın:

az role definition list --name "Contributor"

Önemli

İzinler, bir ilke tanımı içinde tanımlarken roleDefinitionIds veya yönetilen kimliğe el ile izin atarken mümkün olan en küçük kümeyle sınırlandırılmalıdır. Daha fazla en iyi deneyim için bkz . yönetilen kimlik en iyi uygulama önerileri .

Yönetilen kimliği yapılandırma

Her Azure İlkesi ataması yalnızca bir yönetilen kimlikle ilişkilendirilebilir. Ancak yönetilen kimliğe birden çok rol atanabilir. Yapılandırma iki adımda gerçekleşir: önce sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği oluşturun, ardından gerekli rolleri verin.

Not

Portal aracılığıyla yönetilen kimlik oluştururken, roller yönetilen kimliğe otomatik olarak verilir. İlke tanımında daha sonra düzenlenirse roleDefinitionIds , yeni izinler portalda bile el ile verilmelidir.

Yönetilen kimliği oluşturma

Portal

Portalı kullanarak bir atama oluşturduğunuzda, Azure İlkesi sistem tarafından atanan bir yönetilen kimlik oluşturabilir ve ilke tanımının roleDefinitionIdsiçinde tanımlanan rolleri verebilir. Alternatif olarak, aynı rol atamasını alan kullanıcı tarafından atanan yönetilen kimliği belirtebilirsiniz.

Portalda sistem tarafından atanan yönetilen kimliği ayarlamak için:

1. Atama oluşturma/düzenleme görünümünün Düzeltme sekmesinde, Yönetilen Kimlik Türleri'nin altında Sistem tarafından atanan yönetilen kimliğin seçildiğinden emin olun.

2. Yönetilen kimliğin bulunacağı konumu belirtin.

3. Kapsam atama kapsamından devralındığından sistem tarafından atanan yönetilen kimlik için kapsam atamayın.

Portalda kullanıcı tarafından atanan yönetilen kimliği ayarlamak için:

1. Atama oluşturma/düzenleme görünümünün Düzeltme sekmesinde, Yönetilen Kimlik Türleri'nin altında Kullanıcı tarafından atanan yönetilen kimliğin seçildiğinden emin olun.

2. Yönetilen kimliğin barındırıldığı kapsamı belirtin. Yönetilen kimliğin kapsamının atamanın kapsamına eşit olması gerekmez, ancak aynı kiracıda olması gerekir.

3. Mevcut kullanıcı tarafından atanan kimlikler'in altında yönetilen kimliği seçin.

PowerShell

İlkenin atanması sırasında kimlik oluşturmak için Konum tanımlanmalıdır ve Kimlik kullanılmalıdır.

Aşağıdaki örnek, SQL DB saydam veri şifrelemesini dağıtma yerleşik ilkesinin tanımını alır, hedef kaynak grubunu ayarlar ve ardından sistem tarafından atanan yönetilen kimliği kullanarak atamayı oluşturur.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Aşağıdaki örnek, SQL DB saydam veri şifrelemesini dağıtma yerleşik ilkesinin tanımını alır, hedef kaynak grubunu ayarlar ve kullanıcı tarafından atanan yönetilen kimliği kullanarak atamayı oluşturur.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Değişkeni $assignment artık yönetilen kimliğin asıl kimliğini ve ilke ataması oluşturulurken döndürülen standart değerleri içerir. Sistem tarafından atanan yönetilen kimlikler ve $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId kullanıcı tarafından atanan yönetilen kimlikler için üzerinden $assignment.Identity.PrincipalId erişilebilir.

Azure CLI

İlke ataması sırasında kimlik oluşturmak için, yönetilen kimliğin sistem tarafından mı yoksa kullanıcı tarafından mı atanması gerektiğine bağlı olarak , , ve parametreleriyle --locationaz policy assignment create komutlarını kullanın.--identity-scope --mi-user-assigned--mi-system-assigned

İlke atamasına sistem tarafından atanan bir kimlik veya kullanıcı tarafından atanan bir kimlik eklemek için az policy assignment identity assign komutlarını izleyin.

Tanımlı roller aracılığıyla yönetilen kimliğe izin verme

Önemli

Yönetilen kimlik, gerekli düzeltme görevini yürütmek için gereken izinlere sahip değilse, yalnızca portal aracılığıyla otomatik olarak izinler verilir. Portal üzerinden yönetilen kimlik oluşturuyorsanız bu adımı atlayabilirsiniz.

Diğer tüm yöntemler için, atamanın yönetilen kimliğine rollerin eklenmesiyle el ile erişim verilmelidir, aksi takdirde düzeltme dağıtımı başarısız olur.

El ile izin gerektiren örnek senaryolar:

• Atama bir Azure yazılım geliştirme seti (SDK) aracılığıyla oluşturulduysa
• Tarafından deployIfNotExists değiştirilen veya modify ilke atamasının kapsamı dışında olan bir kaynak
• Şablon, ilke atamasının kapsamı dışındaki kaynaklardaki özelliklere erişiyorsa

Portal

Portalı kullanarak bir atamanın yönetilen kimliğine tanımlı rolleri vermenin iki yolu vardır: Erişim denetimini (IAM) kullanarak veya ilkeyi veya girişim atamasını düzenleyip Kaydet'i seçerek.

Atamanın yönetilen kimliğine rol eklemek için şu adımları izleyin:

1. Azure portalında Tüm hizmetler'i seçip İlke'yi arayarak ve seçerek Azure İlkesi hizmetini başlatın.

2. Azure İlkesi sayfasının sol tarafından Atamalar'ı seçin.

3. Yönetilen kimliği olan atamayı bulun ve adı seçin.

4. Düzenleme sayfasında Atama Kimliği özelliğini bulun. Atama kimliği aşağıdaki örneğe benzer:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Yönetilen kimliğin adı, atama kaynak kimliğinin son bölümüdür ve bu örnekte yer 2802056bfc094dfb95d4d7a5 alır. Atama kaynak kimliğinin bu bölümünü kopyalayın.

5. Rol tanımının el ile eklenmesi gereken kaynağa veya kaynak üst kapsayıcısına (kaynak grubu, abonelik, yönetim grubu) gidin.

6. Kaynaklar sayfasında Erişim denetimi (IAM) bağlantısını seçin ve ardından erişim denetimi sayfasının üst kısmındaki + Rol ataması ekle'yi seçin.

7. İlke tanımından bir roleDefinitionIds ile eşleşen uygun rolü seçin. Varsayılan 'kullanıcı, grup veya uygulama' olarak ayarlamak için Erişim ata'yı bırakın. Seç kutusuna, atama kaynak kimliğinin daha önce bulunan bölümünü yapıştırın veya yazın. Arama tamamlandıktan sonra, kimliği seçmek için aynı ada sahip nesneyi seçin ve Kaydet'i seçin.

PowerShell

Yeni yönetilen kimliğin gerekli rollere sahip olması için önce Microsoft Entra Kimliği aracılığıyla çoğaltmayı tamamlaması gerekir. Çoğaltma tamamlandıktan sonra, aşağıdaki örnekler içindeki ilke tanımını $policyDef yineler ve yeni yönetilen kimliğe rolleri vermek için roleDefinitionIds New-AzRoleAssignment kullanır.

Özellikle, ilk örnekte ilke kapsamında rol verme gösterilmektedir. İkinci örnek, girişim (ilke kümesi) kapsamında rol verme işlemini gösterir.

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Yeni yönetilen kimliğin gerekli rollere sahip olması için önce Microsoft Entra Kimliği aracılığıyla çoğaltmayı tamamlaması gerekir. Çoğaltma tamamlandıktan sonra, ilke tanımında roleDefinitionIds belirtilen roller yönetilen kimliğe verilmelidir.

az policy definition show komutunu kullanarak ilke tanımında belirtilen rollere erişin, ardından az role assignment create komutunu kullanarak rol atamasını oluşturmak için her roleDefinitionIds biri üzerinde yineleme yapın.

Düzeltme görevi oluşturma

Portal

Azure portalında Tüm hizmetler'i seçip İlke'yi arayarak ve seçerek Azure İlkesi hizmetini başlatın.

1. Adım: Düzeltme görevi oluşturmayı başlatma

Portal aracılığıyla bir düzeltme görevi oluşturmanın üç yolu vardır.

1. Seçenek: Düzeltme sayfasından düzeltme görevi oluşturma

1. Azure İlkesi sayfasının sol tarafındaki Düzeltme'yi seçin.

   

2. Düzeltme ilkeleri sekmesinde tüm deployIfNotExists ve modify ilke atamaları gösterilir. Yeni düzeltme görev sayfasını açmak için uyumlu olmayan kaynakları içeren bir atama seçin.

3. Düzeltme görevi ayrıntılarını belirtmek için adımları izleyin.

Seçenek 2: Uyumlu olmayan bir ilke atamasından düzeltme görevi oluşturma

1. Azure İlkesi sayfasının sol tarafındaki Uyumluluk'a tıklayın.

2. Uyumlu olmayan bir ilkeyi veya etki içeren girişim modify atamasını deployIfNotExists seçin.

3. Sayfanın üst kısmındaki Düzeltme Görevi Oluştur düğmesini seçerek Yeni düzeltme görevi sayfasını açın.

4. Düzeltme görevi ayrıntılarını belirtmek için adımları izleyin.

3. Seçenek: İlke ataması sırasında düzeltme görevi oluşturma

Atanacak ilke veya girişim tanımının bir deployIfNotExists veya bir modify etkisi varsa, sihirbazın Düzeltme sekmesi düzeltme görevi oluştur seçeneğini sunar ve bu seçenek ilke atamasıyla aynı anda bir düzeltme görevi oluşturur.

Not

Bu, düzeltme görevi oluşturmaya yönelik en kolay yaklaşımdır ve abonelikte atanan ilkeler için desteklenir. Bir yönetim grubuna atanan ilkeler için, değerlendirme kaynak uyumluluğu belirlendikten sonra düzeltme görevleri Seçenek 1 veya Seçenek 2 kullanılarak oluşturulmalıdır.

1. Portaldaki atama sihirbazından Düzeltme sekmesine gidin. Düzeltme görevi oluştur onay kutusunu seçin.

2. Düzeltme görevi bir girişim atamasından başlatılırsa, açılan listeden düzeltmek için ilkeyi seçin.

3. Yönetilen kimliği yapılandırın ve sihirbazın geri kalanını doldurun. Düzeltme görevi, atama oluşturulduğunda oluşturulur.

2. Adım: Düzeltme görevi ayrıntılarını belirtme

Bu adım yalnızca düzeltme görevi oluşturma işlemini başlatmak için Seçenek 1 veya Seçenek 2 kullanıldığında geçerlidir.

1. Düzeltme görevi bir girişim atamasından başlatılırsa, açılan listeden düzeltmek için ilkeyi seçin. Bir deployIfNotExists veya modify ilke tek seferde tek bir Düzeltme görevi aracılığıyla düzeltilebilir.

2. İsteğe bağlı olarak sayfadaki düzeltme ayarlarını değiştirin. Her ayarın neleri denetlediğini öğrenmek için bkz . düzeltme görevi yapısı.

3. Aynı sayfada, ilkenin atandığı alt kaynakları seçmek için Kapsam üç noktalarını kullanarak (tek tek kaynak nesnelerine kadar) kaynakları filtreleyin. Ayrıca, kaynakları daha fazla filtrelemek için Konumlar açılan listesini kullanın.

   

4. Kaynaklar filtrelendikten sonra Düzelt'i seçerek düzeltme görevine başlayın. İlke uyumluluk sayfası, görevlerin ilerleme durumunu göstermek için Düzeltme görevleri sekmesinde açılır. Düzeltme görevi tarafından oluşturulan dağıtımlar hemen başlar.

   

3. Adım: Düzeltme görevi ilerleme durumunu izleme

1. Düzeltme sayfasındaki Düzeltme görevleri sekmesine gidin. Kullanılan filtreleme, geçerli durum ve düzeltilmekte olan kaynakların listesini görüntülemek için bir düzeltme görevi seçin.

2. Düzeltme görevi ayrıntıları sayfasında bir kaynağa sağ tıklayarak düzeltme görevinin dağıtımını veya kaynağını görüntüleyin. Hata iletisi gibi ayrıntıları görmek için satırın sonunda İlgili olaylar'ı seçin.

   

Bir düzeltme görevi aracılığıyla dağıtılan kaynaklar, ilke atama ayrıntıları sayfasındaki Dağıtılan Kaynaklar sekmesine eklenir.

PowerShell

Azure PowerShell ile bir düzeltme görevi oluşturmak için komutlarını Start-AzPolicyRemediation kullanın. değerini abonelik kimliğiniz ve {myAssignmentId} veya ilke atama kimliğiniz modify deployIfNotExists ile değiştirin{subscriptionId}.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Düzeltme ayarlarını şu isteğe bağlı parametreler aracılığıyla da ayarlayabilirsiniz:

• -FailureThreshold - Hata yüzdesi verilen eşiği aşarsa düzeltme görevinin başarısız olup olmayacağını belirtmek için kullanılır. 0 ile 100 arasında bir sayı olarak sağlanır. Varsayılan olarak hata eşiği %100'dür.
• -ResourceCount - Belirli bir düzeltme görevinde kaç uyumsuz kaynağın düzeltileceğini belirler. Varsayılan değer 500'dür (önceki sınır). Maksimum sayı 50.000 kaynaktır.
• -ParallelDeploymentCount - Aynı anda kaç kaynağın düzeltileceğini belirler. İzin verilen değerler bir kerede 1 ile 30 kaynaktır. Varsayılan değer 10'dur.

Daha fazla düzeltme cmdlet'i ve örnek için Az.PolicyInsights modülüne bakın.

Azure CLI

Azure CLI ile bir düzeltme görevi oluşturmak için komutlarını az policy remediation kullanın. değerini abonelik kimliğiniz ve {myAssignmentId} veya ilke atama kimliğiniz modify deployIfNotExists ile değiştirin{subscriptionId}.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Daha fazla düzeltme komutu ve örneği için bkz . az policy remediation komutları.

Sonraki adımlar

• örnekleri Azure İlkesi gözden geçirin.
• Azure İlkesi tanımı yapısını gözden geçirin.
• İlkenin etkilerini anlama konusunu gözden geçirin.
• Program aracılığıyla ilkelerin nasıl oluşturulacağını anlama.
• Uyumluluk verilerini almayı öğrenin.
• Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile yönetim grubunun ne olduğunu gözden geçirin.