Nem megfelelő erőforrások szervizelése az Azure Policy használatával
Azok az erőforrások, amelyek nem felelnek meg a deployIfNotExists vagy a módosítási effektusok szabályzatainak, szervizeléssel megfelelő állapotba helyezhetők. A szervizelés olyan szervizelési feladatokon keresztül történik, amelyek üzembe helyezik a deployIfNotExists sablont, vagy a hozzárendelt szabályzat módosítási műveleteit a meglévő erőforrásokon és előfizetéseken, függetlenül attól, hogy a hozzárendelés felügyeleti csoporton, előfizetésen, erőforráscsoporton vagy egyéni erőforráson található. Ez a cikk az Azure Policyval végzett szervizelés megértéséhez és elvégzéséhez szükséges lépéseket mutatja be.
A szervizelés hozzáférés-vezérlésének működése
Amikor az Azure Policy elindít egy sablontelepítést a deployIfNotExists-szabályzatok kiértékelésekor, vagy módosít egy erőforrást a szabályzatok kiértékelésekor, az a szabályzat-hozzárendeléshez társított felügyelt identitás használatával történik. A szabályzat-hozzárendelések felügyelt identitásokat használnak az Azure-erőforrások engedélyezéséhez. Használhat rendszer által hozzárendelt felügyelt identitást, amelyet a szabályzatszolgáltatás hoz létre, vagy felhasználó által hozzárendelt identitást, amelyet a felhasználó adott meg. A felügyelt identitáshoz hozzá kell rendelni az erőforrások szervizeléséhez szükséges minimális szerepköralapú hozzáférés-vezérlési (RBAC-) szerepkör(öke)t. Ha a felügyelt identitásból hiányoznak a szerepkörök, hibaüzenet jelenik meg a portálon, amikor szabályzatot vagy kezdeményezést próbál hozzárendelni. A portál használata során az Azure Policy automatikusan megadja a felügyelt identitásnak a felsorolt szerepköröket a hozzárendelés megkezdésekor. Azure-beli szoftverfejlesztői készlet (SDK) használatakor a szerepköröket manuálisan kell megadni a felügyelt identitásnak. A felügyelt identitás helye nem befolyásolja az Azure Policyval való működését.
Megjegyzés:
A szabályzatdefiníció módosítása nem frissíti automatikusan a hozzárendelést vagy a társított felügyelt identitást.
A szervizelési biztonság a következő lépésekkel konfigurálható:
- A szabályzatdefiníció konfigurálása
- A felügyelt identitás konfigurálása
- Engedélyek megadása a felügyelt identitáshoz meghatározott szerepkörökön keresztül
- Szervizelési feladat létrehozása
A szabályzatdefiníció konfigurálása
Előfeltételként a szabályzatdefiníciónak meg kell határoznia azokat a szerepköröket, amelyek üzembe helyezik azIfNotExistset , és módosítaniuk kell a szükséges módosításokat a belefoglalt sablon tartalmának sikeres üzembe helyezéséhez. A beépített szabályzatdefiníciókhoz nincs szükség műveletre, mert ezek a szerepkörök előre vannak töltve. Egyéni szabályzatdefiníciók esetén a részletek tulajdonság alatt adjon hozzá egy roleDefinitionIds tulajdonságot . Ez a tulajdonság olyan sztringek tömbje, amelyek megfelelnek a környezet szerepköreinek. Teljes példáért tekintse meg a deployIfNotExists példát vagy a módosítási példákat.
"details": {
...
"roleDefinitionIds": [
"/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
"/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
]
}
A roleDefinitionIds tulajdonság a teljes erőforrás-azonosítót használja, és nem veszi fel a szerepkör rövid szerepkörnevét . A "Közreműködő" szerepkör azonosítójának lekéréséhez használja a következő Azure CLI-kódot:
az role definition list --name "Contributor"
Fontos
Az engedélyeket a lehető legkisebbre kell korlátozni, amikor a roleDefinitionIds értéket egy szabályzatdefinícióban definiálja, vagy manuálisan rendeli hozzá az engedélyeket egy felügyelt identitáshoz. További ajánlott eljárásokért tekintse meg a felügyelt identitással kapcsolatos ajánlott eljárásokat .
A felügyelt identitás konfigurálása
Minden Azure Policy-hozzárendelés csak egy felügyelt identitáshoz társítható. A felügyelt identitás azonban több szerepkörhöz is hozzárendelhető. A konfiguráció két lépésben történik: először hozzon létre egy rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást, majd adja meg a szükséges szerepköröket.
Megjegyzés:
A felügyelt identitás portálon keresztüli létrehozásakor a szerepkörök automatikusan meg lesznek adva a felügyelt identitásnak. Ha a roleDefinitionId-eket később szerkesztik a szabályzatdefinícióban, az új engedélyeket manuálisan kell megadni, még a portálon is.
A felügyelt identitás létrehozása
Amikor a portál használatával hoz létre hozzárendelést, az Azure Policy létrehozhat egy rendszer által hozzárendelt felügyelt identitást, és megadhatja a szabályzatdefiníciós roleDefinitionIdsben meghatározott szerepköröket. Másik lehetőségként megadhat egy felhasználó által hozzárendelt felügyelt identitást is, amely ugyanazt a szerepkör-hozzárendelést kapja.
Rendszer által hozzárendelt felügyelt identitás beállítása a portálon:
A létrehozási/szerkesztési feladat nézet Szervizelés lapján, a Felügyelt identitástípusok csoportban győződjön meg arról, hogy a rendszer által hozzárendelt felügyelt identitás ki van jelölve.
Adja meg a felügyelt identitás helyét.
Ne rendeljen hozzá hatókört a rendszer által hozzárendelt felügyelt identitáshoz, mert a hatókör öröklődik a hozzárendelési hatókörből.
Felhasználó által hozzárendelt felügyelt identitás beállítása a portálon:
A Hozzárendelés létrehozása/szerkesztése nézet Szervizelés lapján, a Felügyelt identitástípusok csoportban győződjön meg arról, hogy a felhasználó által hozzárendelt felügyelt identitás ki van jelölve.
Adja meg a felügyelt identitás üzemeltetett hatókörét. A felügyelt identitás hatókörének nem kell megegyeznie a hozzárendelés hatókörével, de ugyanabban a bérlőben kell lennie.
A Meglévő felhasználó által hozzárendelt identitások csoportban válassza ki a felügyelt identitást.
Engedélyek megadása a felügyelt identitáshoz meghatározott szerepkörökön keresztül
Fontos
Ha a felügyelt identitás nem rendelkezik a szükséges szervizelési feladat végrehajtásához szükséges engedélyekkel, akkor a rendszer automatikusan csak a portálon keresztül kap engedélyeket. Ezt a lépést kihagyhatja, ha felügyelt identitást hoz létre a portálon keresztül.
Minden más módszer esetében a hozzárendelés felügyelt identitásának manuálisan kell hozzáférést biztosítani a szerepkörök hozzáadásával, különben a szervizelési üzembe helyezés sikertelen lesz.
Manuális engedélyeket igénylő példaforgatókönyvek:
- Ha a hozzárendelés azure-beli szoftverfejlesztői készlettel (SDK) jön létre
- Ha a deployIfNotExists vagy a módosítás által módosított erőforrás kívül esik a szabályzat-hozzárendelés hatókörén
- Ha a sablon a szabályzat-hozzárendelés hatókörén kívüli erőforrások tulajdonságait éri el
A hozzárendelés felügyelt identitásának kétféleképpen adható meg a definiált szerepkörök a portálon: a Hozzáférés-vezérlés (IAM) használatával, vagy a szabályzat vagy kezdeményezés hozzárendelésének szerkesztésével és a Mentés gombra kattintva.
Ha szerepkört szeretne hozzáadni a hozzárendelés felügyelt identitásához, kövesse az alábbi lépéseket:
Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.
Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán.
Keresse meg a felügyelt identitással rendelkező hozzárendelést, és válassza ki a nevet.
Keresse meg a Feladatazonosító tulajdonságot a szerkesztési lapon. A hozzárendelés azonosítója a következőhöz hasonló lesz:
/subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
A felügyelt identitás neve a hozzárendelési erőforrás-azonosító utolsó része, amely ebben a példában szerepel
2802056bfc094dfb95d4d7a5
. Másolja ki a hozzárendelési erőforrás-azonosító ezen részét.Keresse meg azt az erőforrást vagy az erőforrás szülőtárolóját (erőforráscsoport, előfizetés, felügyeleti csoport), amelyet manuálisan kell hozzáadni a szerepkör-definícióhoz.
Válassza a Hozzáférés-vezérlés (IAM) hivatkozást az erőforrások lapon, majd válassza a + Szerepkör-hozzárendelés hozzáadása lehetőséget a hozzáférés-vezérlési oldal tetején.
Válassza ki a szabályzatdefiníciós azonosítónak megfelelő szerepkört. Hagyja meg a Hozzáférés hozzárendelése lehetőséget az "Azure AD-felhasználó, -csoport vagy -alkalmazás" alapértelmezett beállításához. A Kijelölés mezőbe illessze be vagy írja be a hozzárendelési erőforrás-azonosító korábban található részét. Ha a keresés befejeződött, válassza ki az azonos nevű objektumot az azonosító kiválasztásához, majd a Mentés gombra.
Szervizelési feladat létrehozása
Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.
1. lépés: Javítási feladat létrehozásának kezdeményezése
A szervizelési feladatokat három módon hozhatja létre a portálon keresztül.
1. lehetőség: Szervizelési feladat létrehozása a Szervizelési oldalról
Válassza a Szervizelés lehetőséget az Azure Policy oldal bal oldalán.
Az összes deployIfNotExists és módosítási szabályzat-hozzárendelés megjelenik a Szervizelés lap Házirendek lapján. Az Új szervizelési feladat lap megnyitásához válassza ki azokat az erőforrásokat, amelyek nem megfelelőek.
Kövesse a lépéseket a szervizelési feladat részleteinek megadásához.
2. lehetőség: Szervizelési feladat létrehozása nem megfelelő szabályzat-hozzárendelésből
Válassza a Megfelelőség lehetőséget az Azure Policy oldal bal oldalán.
Válasszon ki egy nem megfelelő szabályzatot vagy kezdeményezési hozzárendelést, amely a deployIfNotExists vagy a módosítási effektusokat tartalmazza.
Az Új szervizelési feladat lap megnyitásához kattintson a lap tetején található Szervizelési feladat létrehozása gombra.
Kövesse a lépéseket a szervizelési feladat részleteinek megadásához.
3. lehetőség: Szervizelési feladat létrehozása szabályzat-hozzárendelés során
Ha a hozzárendelni kívánt szabályzat vagy kezdeményezés definíciója deployIfNotExists vagy Modify effektussal rendelkezik, a varázsló Szervizelés lapja egy Szervizelési feladat létrehozása lehetőséget kínál, amely a szabályzat-hozzárendeléssel egy időben hoz létre szervizelési feladatot.
Megjegyzés:
Ez a leggördülékenyebb módszer a szervizelési feladatok létrehozásához, és az előfizetéshez rendelt szabályzatok esetében támogatott. A felügyeleti csoporthoz rendelt szabályzatok esetében a szervizelési feladatokat az 1. vagy a 2. lehetőség használatával kell létrehozni, miután a kiértékelés megállapította az erőforrás-megfelelőséget.
A portál hozzárendelési varázslójában lépjen a Szervizelés lapra. Jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet.
Ha a szervizelési feladat kezdeményezési hozzárendelésből indul ki, válassza ki a legördülő menüből a szervizelendő szabályzatot.
Konfigurálja a felügyelt identitást , és töltse ki a varázsló többi részét. A szervizelési feladat a hozzárendelés létrehozásakor jön létre.
2. lépés: A szervizelési tevékenység részleteinek megadása
Ez a lépés csak akkor alkalmazható, ha az 1. vagy a 2. lehetőséggel kezdeményezi a javítási feladat létrehozását.
Ha a szervizelési feladat kezdeményezési hozzárendelésből indul ki, válassza ki a legördülő menüből a szervizelendő szabályzatot. Egy deployIfNotExists vagy módosítási szabályzat egyszerre egyetlen szervizelési feladattal orvosolható.
Igény szerint módosítsa a javítási beállításokat a lapon. Az egyes beállításvezérlőkről további információt a szervizelési feladat struktúrája tartalmaz.
Ugyanazon a lapon szűrje a szervizeléshez szükséges erőforrásokat a Hatókör három pontjának használatával, hogy gyermekerőforrásokat válasszon ki a házirend hozzárendelési helyén (beleértve az egyes erőforrás-objektumokra vonatkozókat is). Emellett a Helyek legördülő listával tovább szűrheti az erőforrásokat.
Az erőforrások szűrése után a Szervizelés gombra kattintva kezdje el a szervizelési feladatot. A szabályzatmegfelelés lap megnyílik a Szervizelési feladatok lapra, amely megjeleníti a tevékenységek állapotát. A szervizelési feladat által létrehozott üzembe helyezések azonnal elkezdődik.
3. lépés: A szervizelési tevékenység előrehaladásának nyomon követése
Lépjen a Szervizelési lap Szervizelési feladatok lapjára. A szervizelési tevékenységre kattintva megtekintheti a használt szűrés részleteit, az aktuális állapotot és a szervizelendő erőforrások listáját.
A Szervizelési tevékenység részletei lapon kattintson a jobb gombbal egy erőforrásra a szervizelési tevékenység üzembe helyezésének vagy az erőforrásnak a megtekintéséhez. A sor végén válassza a Kapcsolódó események lehetőséget a részletek, például egy hibaüzenet megtekintéséhez.
A szervizelési tevékenységen keresztül üzembe helyezett erőforrások a szabályzat-hozzárendelés részleteinek lapján az Üzembe helyezett erőforrások lapra kerülnek.
Következő lépések
- Tekintse át az Azure Policy-minták példáit.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
- Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
- Tekintse át, hogy mi az a felügyeleti csoport az erőforrások azure-beli felügyeleti csoportokkal való rendszerezésével.