إصلاح الموارد غير المتوافقة مع نهج Azure

يمكن وضع الموارد غير المتوافقة مع النهج مع deployIfNotExists أو تأثيرات التعديل في حالة متوافقة من خلال المعالجة. يتم إنجاز المعالجة من خلال مهام المعالجة التي توزع قالب deployIfNotExists أو عمليات تعديل النهج المعين على الموارد والاشتراكات الموجودة، سواء كان هذا التعيين في مجموعة إدارة أو اشتراك أم مجموعة موارد أم مورد فردي. توضح هذه المقالة الخطوات اللازمة لفهم المعالجة وإنجازها باستخدام نهج Azure.

كيفية عمل التحكم في الوصول إلى المعالجة

عندما يبدأ نهج Azure في توزيع قالب عند تقييم نهج deployIfNotExists أو يعدل مورداً عند تقييم تعديل النهج، فإنه يفعل ذلك باستخدام هوية مدارة مقترنة بتعيين النهج. تستخدم تعيينات النهج الهويات المدارة لتخويل موارد Azure. يمكنك استخدام هوية مدارة معينة من قبل النظام يتم إنشاؤها بواسطة خدمة النهج أو هوية معينة من قِبل المستخدم يوفرها المستخدم. يجب تعيين الحد الأدنى لدور (أدوار) التحكم في الوصول استناداً إلى الدور (RBAC) للهوية المدارة المطلوبة لمعالجة الموارد. إذا كانت الهوية المدارة مفقودة الأدوار، يتم عرض خطأ في المدخل أثناء تعيين النهج أو المبادرة. عند استخدام المدخل، يمنح نهج Azure تلقائياً الهوية المدارة الأدوار المدرجة بمجرد بدء التعيين. عند استخدام مجموعة تطوير برامج Azure (SDK)، يجب منح الأدوار يدوياً للهوية المدارة. لا يؤثر موقع الهوية المدارة على عملها باستخدام نهج Azure.

إشعار

لا يؤدي تغيير تعريف النهج إلى تحديث التعيين أو الهوية المدارة المقترنة تلقائياً.

يمكن تكوين أمان المعالجة من خلال الخطوات التالية:

• تكوين تعريف النهج
• تكوين الهوية المُدارة
• منح أذونات للهوية المدارة من خلال أدوار محددة
• إنشاء مهمة معالجة

تكوين تعريف النهج

كشرط أساسي، يجب أن يحدد تعريف النهج الأدوار التي يحتاجها publishIfNotExists وتعديلها لتوزيع محتوى القالب المضمن بنجاح. لا يلزم اتخاذ أي إجراء لتعريف نهج مضمن لأن هذه الأدوار محسوبة مسبقاً. لتعريف نهج مخصص، ضمن خاصية التفاصيل، أضف خاصية roleDefinitionIds. هذه الخاصية عبارة عن صفيف من السلاسل التي تطابق الأدوار في بيئتك. للحصول على مثال كامل، راجع المثال deployIfNotExists أو أمثلة التعديل.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

تستخدم الخاصية roleDefinitionIds معرف المورد الكامل، ولا تأخذ roleName القصير للدور. للحصول على معرف دور "المساهم" في بيئتك، استخدم التعليمات البرمجية لـ Azure CLI التالية:

az role definition list --name "Contributor"

هام

يجب تقييد الأذونات إلى أصغر مجموعة ممكنة عند تعريف roleDefinitionIds ضمن تعريف نهج أو تعيين أذونات إلى هوية مدارة يدوياً. راجع توصيات أفضل ممارسات الهوية المدارة لمزيد من أفضل الممارسات.

تكوين الهوية المُدارة

يمكن إقران كل تعيين نهج Azure بهوية مدارة واحدة فقط. ومع ذلك، يمكن تعيين أدوار متعددة للهوية المدارة. يحدث التكوين في خطوتين: أولاً إنشاء هوية مدارة معينة من قبل النظام أو معينة من قبل المستخدم، ثم منحها الأدوار الضرورية.

إشعار

عند إنشاء هوية مدارة من خلال المدخل، سيتم منح الأدوار تلقائياً للهوية المدارة. إذا تم تحرير roleDefinitionIds لاحقاً في تعريف النهج، يجب منح الأذونات الجديدة يدوياً، حتى في المدخل.

قم بإنشاء الهوية المُدارة

المدخل

عند إنشاء تعيين باستخدام المدخل، يمكن لنهج Azure إنشاء هوية مدارة معينة من قبل النظام ومنحها الأدوار المحددة في roleDefinitionIds لتعريف النهج. بدلاً من ذلك، يمكنك تحديد هوية مدارة معينة من قِبل المستخدم تتلقى نفس تعيين الدور.

لتعيين هوية مدارة معينة من قبل النظام في المدخل:

1. في علامة التبويب المعالجة في طريقة عرض تعيين الإنشاء/التحرير، ضمن أنواع الهوية المدارة، تأكد من تحديد الهوية المدارة المعينة من قبل النظام.

2. حدد الموقع الذي سيتم تحديد موقع الهوية المدارة فيه.

3. لا تقم بتعيين نطاق للهوية المدارة المعينة من قبل النظام لأنه سيتم توريث النطاق من نطاق التعيين.

لتعيين هوية مدارة معينة من قبل المستخدم في المدخل:

1. في علامة التبويب المعالجة في طريقة عرض تعيين الإنشاء/التحرير، ضمن أنواع الهوية المدارة، تأكد من تحديد الهوية المدارة المعينة من قبل المستخدم.

2. حدد النطاق الذي تتم فيه استضافة الهوية المدارة. لا يجب أن يساوي نطاق الهوية المدارة نطاق التعيين، ولكن يجب أن يكون في نفس المستأجر.

3. ضمن الهويات المعينة للمستخدم الحالي، حدد الهوية المدارة.

PowerShell

لإنشاء هوية أثناء تعيين النهج، يجب تعريف الموقع واستخدام الهوية.

يحصل المثال التالي على تعريف النهج المضمن نشر تشفير البيانات الشفافة ل SQL DB، وتعيين مجموعة الموارد الهدف، ثم إنشاء التعيين باستخدام هوية مدارة معينة من قبل النظام.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

يحصل المثال التالي على تعريف النهج المضمن توزيع تشفير البيانات الشفافة لقاعدة بيانات SQL من شأنه تعيين مجموعة الموارد الهدف، ثم ينشئ التعيين باستخدام هوية مدارة معينة من قبل المستخدم.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

يحتوي المتغير $assignment الآن على المعرف الأساسي للهوية المدارة جنباً إلى جنب مع القيم القياسية التي تم إرجاعها عند إنشاء تعيين نهج. يمكن الوصول إليه من خلال $assignment.Identity.PrincipalId للهويات المدارة المعينة من قبل النظام و$assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId للهويات المدارة المعينة من قبل المستخدم.

Azure CLI

لإنشاء هوية أثناء تعيين النهج، استخدم أوامر az policy assignment create مع المعلمات --location، و--mi-system-assigned، و--mi-user-assigned، و--identity-scope اعتمادًا على ما إذا كان يجب تعيين الهوية المدارة من قبل النظام أو تعيينها من قبل المستخدم.

لإضافة هوية معينة من قبل النظام أو هوية معينة من قبل المستخدم إلى تعيين نهج، اتبع أوامر az policy assignment identity assign النموذجية.

منح أذونات للهوية المدارة من خلال أدوار محددة

هام

إذا لم تكن لدى الهوية المدارة الأذونات اللازمة لتنفيذ مهمة المعالجة المطلوبة، فسيتم منحها الأذونات تلقائياً فقط من خلال المدخل. يمكنك تخطي هذه الخطوة في حالة إنشاء هوية مدارة من خلال المدخل.

بالنسبة لجميع الطرق الأخرى، يجب منح الهوية المدارة للتعيين حق الوصول يدوياً من خلال إضافة الأدوار، وإلا سيفشل توزيع المعالجة.

مثال على السيناريوهات التي تتطلب أذونات يدوية:

• إذا تم إنشاء المهمة من خلال عدة تطوير البرامج Azure (SDK)
• إذا تم تعديل مورد بواسطة deployIfNotExists أو تعديله خارج نطاق تعيين النهج
• إذا كان القالب يصل إلى خصائص الموارد خارج نطاق تعيين النهج

المدخل

هناك طريقتان لمنح الهوية المدارة للتعيين الأدوار المحددة باستخدام المدخل: باستخدام التحكم في الوصول (IAM) أو عن طريق تحرير تعيين النهج أو المبادرة وتحديد حفظ.

لإضافة دور إلى الهوية المدارة للتعيين، اتبع الخطوات التالية:

1. قم بتشغيل خدمة Azure Policy في مدخل Microsoft Azure من خلال تحديد "All services"، ثم ابحث عن "Policy" وحددها.

2. حدد "Assignments" على الجانب الأيسر من صفحة Policy في Azure.

3. حدد موقع التعيين الذي يحتوي على هوية مدارة وحدد الاسم.

4. ابحث عن خاصية معرف التعيين في صفحة التحرير. سيكون معرف التعيين شيئاً مثل:

   /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   اسم الهوية المدارة هو الجزء الأخير من معرف مورد التعيين، والذي يكون 2802056bfc094dfb95d4d7a5 في هذا المثال. انسخ هذا الجزء من معرف مورد التعيين.

5. انتقل إلى المورد أو الحاوية الأصل للموارد (مجموعة الموارد، والاشتراك، ومجموعة الإدارة) التي تحتاج إلى تعريف الدور المضاف يدوياً.

6. حدد الارتباط التحكم بالوصول (IAM) في صفحة الموارد، ثم حدد + إضافة تعيين الدور في أعلى صفحة التحكم بالوصول.

7. حدد الدور المناسب الذي يطابق roleDefinitionId من تعريف النهج. اترك تعيين الوصول لتعيينه إلى الإعداد الافتراضي "مستخدم Azure AD أو المجموعة أو التطبيق". في المربع تحديد، الصق جزء معرف مورد التعيين الموجود سابقاً أو اكتبه. بمجرد اكتمال البحث، حدد العنصر بنفس الاسم لتحديد المعرف وحدد حفظ.

PowerShell

يجب أن تكمل الهوية المدارة الجديدة النسخ المتماثل من خلال Azure Active Directory قبل أن يتم منحها الأدوار المطلوبة. بمجرد اكتمال النسخ المتماثل، تتكرر الأمثلة التالية تعريف النهج في $policyDef لـ roleDefinitionIds وتستخدم New-AzRoleAssignment لمنح الهوية المدارة الجديدة الأدوار.

على وجه التحديد، يوضح لك المثال الأول كيفية منح الأدوار في نطاق النهج. يوضح المثال الثاني كيفية منح الأدوار في نطاق المبادرة (مجموعة النهج).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

يجب أن تكمل الهوية المدارة الجديدة النسخ المتماثل من خلال Azure Active Directory قبل أن يتم منحها الأدوار المطلوبة. بمجرد اكتمال النسخ المتماثل، يجب منح الأدوار المحددة في roleDefinitionIds لتعريف النهج إلى الهوية المدارة.

الوصول إلى الأدوار المحددة في تعريف النهج باستخدام الأمر az policy definition show، ثم التكرار عبر كل roleDefinitionId لإنشاء تعيين الدور باستخدام الأمر az role assignment create.

إنشاء مهمة معالجة

المدخل

قم بتشغيل خدمة Azure Policy في مدخل Microsoft Azure من خلال تحديد "All services"، ثم ابحث عن "Policy" وحددها.

الخطوة 1: بدء إنشاء مهمة المعالجة

هناك ثلاث طرق لإنشاء مهمة معالجة من خلال المدخل.

الخيار 1: إنشاء مهمة معالجة من صفحة المعالجة

1. حدد المعالجة على الجانب الأيسر من صفحة نهج Azure.

   

2. يتم عرض كافة deployIfNotExists وتعديل تعيينات النهج في علامة التبويب النهج للمعالجة. حدد واحداً مع الموارد غير المتوافقة لفتح صفحة مهمة المعالجة الجديدة.

3. اتبع الخطوات لتحديد تفاصيل مهمة المعالجة.

الخيار 2: إنشاء مهمة معالجة من تعيين نهج غير متوافق

1. حدد التوافق على الجانب الأيمن من صفحة نهج Azure.

2. حدد نهجًا غير متوافق أو تعيين مبادرة تحتوي على deployIfNotExists أو تعديل التأثيرات.

3. حدد الزر إنشاء مهمة معالجة في أعلى الصفحة لفتح صفحة مهمة المعالجة الجديدة.

4. اتبع الخطوات لتحديد تفاصيل مهمة المعالجة.

الخيار 3: إنشاء مهمة معالجة أثناء تعيين النهج

إذا كان تعريف النهج أو المبادرة المراد تعيينه يحتوي على تأثير deployIfNotExists أو Modify، فإن علامة تبويب المعالجة توفر خيار إنشاء مهمة معالجة، والذي ينشئ مهمة معالجة في نفس الوقت، مثل تعيين النهج.

إشعار

هذا هو الأسلوب الأكثر انسيابية لإنشاء مهمة معالجة، ويتم دعمه للنهج المعينة على الاشتراك. بالنسبة للنهج المعينة في مجموعة إدارة، يجب إنشاء مهام المعالجة باستخدام الخيار 1 أو الخيار 2 بعد أن يحدد التقييم توافق الموارد.

1. من معالج التعيين في المدخل، انتقل إلى علامة التبويب المعالجة. حدد خانة الاختيار لإنشاء مهمة معالجة.

2. إذا تم بدء مهمة المعالجة من تعيين مبادرة، فحدد النهج للمعالجة من القائمة المنسدلة.

3. قم بتكوين الهوية المدارة وملء باقي المعالج. سيتم إنشاء مهمة المعالجة عند إنشاء التعيين.

الخطوة 2: تحديد تفاصيل مهمة المعالجة

تنطبق هذه الخطوة فقط عند استخدام الخيار 1 أو الخيار 2 لبدء إنشاء مهمة المعالجة.

1. إذا تم بدء مهمة المعالجة من تعيين مبادرة، فحدد النهج للمعالجة من القائمة المنسدلة. يمكن معالجة نهج deployIfNotExists أو تعديله من خلال مهمة معالجة واحدة في كل مرة.

2. تعديل إعدادات المعالجة على الصفحة اختياريا. للحصول على معلومات حول عناصر تحكم كل إعداد، راجع بنية مهمة المعالجة.

3. في نفس الصفحة، قم بتصفية الموارد للمعالجة باستخدام علامات الحذف النطاق لاختيار الموارد التابعة من حيث يتم تعيين النهج (بما في ذلك وصولاً إلى عناصر الموارد الفردية). بالإضافة إلى ذلك، استخدم القائمة المنسدلة المواقع لتصفية الموارد بشكل أكبر.

   

4. ابدأ مهمة المعالجة بمجرد تصفية الموارد عن طريق تحديد المعالجة. تفتح صفحة توافق النهج على علامة التبويب مهام المعالجة لإظهار حالة تقدم المهام. تبدأ عمليات التوزيع التي تم إنشاؤها بواسطة مهمة المعالجة على الفور.

   

الخطوة 3: تعقب تقدم مهمة المعالجة

1. انتقل إلى علامة التبويب مهام المعالجة في صفحة المعالجة. انقر فوق مهمة معالجة لعرض تفاصيل حول التصفية المستخدمة والحالة الحالية وقائمة بالموارد التي تتم معالجتها.

2. من صفحة تفاصيل مهمة المعالجة، انقر بزر الماوس الأيمن فوق مورد لعرض توزيع مهمة المعالجة أو المورد. في نهاية الصف، حدد الأحداث ذات الصلة لمشاهدة تفاصيل، مثل رسالة خطأ.

   

تتم إضافة الموارد الموزعة من خلال مهمة معالجة إلى علامة التبويب الموارد الموزعة في صفحة تفاصيل تعيين النهج.

PowerShell

لإنشاء مهمة معالجة باستخدام Azure PowerShell، استخدم الأوامر Start-AzPolicyRemediation. استبدل {subscriptionId} بمعرف الاشتراك الخاص بك و{myAssignmentId} بـ deployIfNotExists أو قم بتعديل معرف تعيين النهج.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

يمكنك أيضا اختيار ضبط إعدادات المعالجة من خلال هذه المعلمات الاختيارية:

• -FailureThreshold - يستخدم لتحديد ما إذا كان يجب أن تفشل مهمة المعالجة إذا تجاوزت النسبة المئوية لحالات الفشل الحد المحدد. يتم توفيره كرقم بين 0 و100. بشكل افتراضي، حد الفشل هو 100%.
• -ResourceCount - يحدد عدد الموارد غير المتوافقة التي يجب معالجتها في مهمة معالجة معينة. القيمة الافتراضية هي 500 (الحد السابق). الحد الأقصى لعدد الموارد هو 50000 مورد.
• -ParallelDeploymentCount - يحدد عدد الموارد التي يجب معالجتها في نفس الوقت. القيم المسموح بها هي من 1 إلى 30 مورداً في كل مرة. القيمة الافتراضية هي 10.

لمزيد من أوامر cmdlets وأمثلة المعالجة، راجع الوحدة Az.PolicyInsights.

Azure CLI

لإنشاء مهمة معالجة باستخدام Azure CLI، استخدم الأوامر az policy remediation. استبدل {subscriptionId} بمعرف الاشتراك الخاص بك و{myAssignmentId} بـ deployIfNotExists أو قم بتعديل معرف تعيين النهج.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

لمزيد من أوامر الإصلاح والأمثلة، راجع أوامر az policy remediation.

الخطوات التالية

• راجع الأمثلة في نماذج نهج Azure.
• راجع بنية تعريف نهج Azure.
• راجع فهم تأثيرات النهج.
• التعرف على كيفية إنشاء النُهج برمجيًا.
• تعرف على كيفية الحصول على بيانات التوافق.
• راجع المقصود بمجموعة الإدارة من خلال تنظيم مواردك باستخدام مجموعات إدارة Azure.