[Vorschau] Verwenden von Azure Policy zum Zuweisen verwalteter Identitäten
Azure Policy unterstützt Sie bei der Durchsetzung von Organisationsstandards und der Bewertung der Compliance im großen Stil. Über das zugehörige Compliancedashboard stellt Azure Policy eine aggregierte Ansicht zur Verfügung, mit der Administratoren den Gesamtzustand der Umgebung auswerten können. Sie haben die Möglichkeit, einen Drilldown bis hinunter zu einzelnen Ressourcen und einzelnen Richtlinien auszuführen. Außerdem wird durch Massenwartung für vorhandene Ressourcen und automatische Wartung für neue Ressourcen ermöglicht, dass Ihre Ressourcen die Complianceanforderungen erfüllen. Zu den üblichen Anwendungsfällen für Azure Policy zählt die Implementierung von Governance für:
- Ressourcenkonsistenz
- Compliance
- Sicherheit
- Cost
- Verwaltung
Richtliniendefinitionen für diese üblichen Anwendungsfälle sind in der Azure-Umgebung bereits enthalten, um Ihnen den Einstieg zu erleichtern.
Azure Monitor-Agents erfordern eine verwaltete Identität auf den überwachten virtuellen Azure-Computern (VMs). In diesem Dokument wird das Verhalten einer integrierten Azure Policy beschrieben, die von Microsoft bereitgestellt wird, damit eine für diese Szenarien erforderliche verwaltete Identität VMs im großen Stil zugewiesen wird.
Obwohl eine Verwendung der systemseitig zugewiesenen verwalteten Identität möglich ist, führt die Verwendung im großen Stil (z. B. für alle VMs in einem Abonnement) zu einer erheblichen Anzahl von Identitäten, die in Microsoft Entra ID erstellt (und gelöscht) wurden. Um dermaßen viele Identitäten zu vermeiden, empfiehlt es sich, benutzerseitig zugewiesene verwaltete Identitäten zu verwenden, die einmal erstellt und für mehrere VMs gemeinsam verwendet werden können.
Hinweis
Es wird empfohlen, eine benutzerseitig zugewiesene verwaltete Identität für jedes Azure-Abonnement pro Azure-Region zu verwenden.
Die Richtlinie soll diese Empfehlung implementieren.
Richtliniendefinition und -details
Bei der Ausführung der Richtlinie werden die folgenden Aktionen ausgeführt:
- Erstellen einer neuen integrierten, benutzerseitig zugewiesenen verwalteten Identität im Abonnement und in jeder Azure-Region basierend auf den virtuellen Computern, die sich im Bereich der Richtlinie befinden (sofern noch nicht vorhanden).
- Belegen der benutzerseitig zugewiesenen verwalteten Identität nach deren Erstellung mit einer Sperre, damit sie nicht versehentlich gelöscht wird.
- Zuweisen der integrierten, benutzerseitig zugewiesenen verwalteten Identität zu virtuellen Computern im Abonnement und zur Region basierend auf den virtuellen Computern, die sich im Bereich der Richtlinie befinden.
Hinweis
Wenn dem virtuellen Computer bereits genau eine benutzerseitig zugewiesene verwaltete Identität zugewiesen ist, überspringt die Richtlinie diese VM beim Zuweisen der integrierten Identität. Dies geschieht, um sicherzustellen, dass Anwendungen, die vom Standardverhalten des Tokenendpunkts in IMDS abhängig sind, durch Zuweisung der Richtlinie weiterhin funktionsfähig bleiben.
Es gibt zwei Szenarien für die Verwendung der Richtlinie:
- Erstellen und Verwenden einer „integrierten“ benutzerseitig zugewiesenen verwalteten Identität durch die Richtlinie.
- Einbringen einer eigenen benutzerseitig zugewiesenen verwalteten Identität.
Die Richtlinie übernimmt die folgenden Eingabeparameter:
- Bring-Your-Own-UAMI? – Soll die Richtlinie eine neue benutzerseitig zugewiesene verwaltete Identität erstellen (sofern noch nicht vorhanden)?
- Bei Einstellung auf „true“ müssen Sie Folgendes angeben:
- Name der verwalteten Identität
- Ressourcengruppe, in der die verwaltete Identität erstellt werden soll
- Bei Einstellung auf „false“ ist keine zusätzliche Eingabe erforderlich.
- Die Richtlinie erstellt die erforderliche benutzerseitig zugewiesene verwaltete Identität namens „built-in-identity“ in einer Ressourcengruppe namens „built-in-identity-rg“.
Verwenden der Richtlinie
Erstellen der Richtlinienzuweisung
Die Richtliniendefinition kann verschiedenen Bereichen in Azure zugewiesen werden: im Verwaltungsgruppenabonnement oder in einer bestimmten Ressourcengruppe. Da Richtlinien immer erzwungen werden müssen, wird der Zuweisungsvorgang unter Verwendung einer verwalteten Identität ausgeführt, die dem Richtlinienzuweisungsobjekt zugeordnet ist. Das Richtlinienzuweisungsobjekt unterstützt sowohl die systemseitig zugewiesene als auch die benutzerseitig zugewiesene verwaltete Identität. Joe kann beispielsweise eine benutzerseitig zugewiesene verwaltete Identität namens PolicyAssignmentMI erstellen. Die integrierte Richtlinie erstellt eine benutzerseitig zugewiesene verwaltete Identität in jedem Abonnement und in jeder Region mit Ressourcen, die sich im Bereich der Richtlinienzuweisung befinden. Die benutzerseitig zugewiesenen verwalteten Identitäten, die von der Richtlinie erstellt werden, weisen das folgende resourceId-Format auf:
/subscriptions/your-subscription-id/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-{location}
Beispiel:
/subscriptions/aaaabbbb-aaaa-bbbb-1111-111122223333/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-eastus
Erforderliche Autorisierung
Damit die verwaltete PolicyAssignmentMI-Identität die integrierte Richtlinie im angegebenen Bereich zuweisen kann, benötigt sie die folgenden Berechtigungen, ausgedrückt als Azure RBAC-Rollenzuweisung (rollenbasierte Zugriffssteuerung in Azure):
| Prinzipal | Rolle/Aktion | Bereich | Zweck |
|---|---|---|---|
| PolicyAssigmentMI | Operator für verwaltete Identität | /subscription/subscription-id/resourceGroups/built-in-identity ODER Bring-your-own-User-assigned-Managed-Identität |
Erforderlich zum Zuweisen der integrierten Identität zu VMs. |
| PolicyAssigmentMI | Beitragender | /subscription/subscription-id> | Erforderlich zum Erstellen der Ressourcengruppe, die die integrierte verwaltete Identität im Abonnement enthält. |
| PolicyAssigmentMI | Mitwirkender für verwaltete Identität | /subscription/subscription-id/resourceGroups/built-in-identity | Erforderlich zum Erstellen einer neuen benutzerseitig zugewiesenen verwalteten Identität. |
| PolicyAssigmentMI | Benutzerzugriffsadministrator | /subscription/subscription-id/resourceGroups/built-in-identity ODER Bring-your-own-User-assigned-Managed-Identität |
Erforderlich zum Festlegen einer Sperre für die vom Benutzer zugewiesene verwaltete Identität, die von der Richtlinie erstellt wurde. |
Da das Richtlinienzuweisungsobjekt vorab über diese Berechtigung verfügen muss, kann PolicyAssignmentMI keine systemseitig zugewiesene verwaltete Identität für dieses Szenario sein. Der Benutzer, der die Richtlinienzuweisungsaufgabe ausführt, muss PolicyAssignmentMI vorab mit den obigen Rollenzuweisungen autorisieren.
Wie Sie sehen können, ist „Mitwirkender“ im Abonnementbereich die resultierende Rolle mit den geringsten Berechtigungen.
Bekannte Probleme
Mögliche Racebedingung mit einer anderen Bereitstellung, die die einer VM zugewiesenen Identitäten ändert, können zu unerwarteten Ergebnissen führen.
Wenn zwei oder mehr parallele Bereitstellungen denselben virtuellen Computer aktualisieren und alle die Identitätskonfiguration des virtuellen Computers ändern, ist es unter bestimmten Racebedingungen möglich, dass alle erwarteten Identitäten den Computern NICHT zugewiesen werden. Wenn die Richtlinie in diesem Dokument beispielsweise die verwalteten Identitäten eines virtuellen Computers aktualisiert und gleichzeitig ein anderer Prozess Änderungen im Abschnitt für verwaltete Identitäten vornimmt, ist nicht garantiert, dass alle erwarteten Identitäten dem virtuellen Computer ordnungsgemäß zugewiesen werden.