Corrigir recursos que não estão em conformidade com o Azure Policy

Recursos que não estão em conformidade com políticas de deployIfNotExists ou efeitos de modify podem ser colocados em um estado de conformidade por meio da Correção. A correção é realizada por meio de tarefas de correção que implantam o modelo deployIfNotExists ou as operações modify da política atribuída em seus recursos e assinaturas existentes, independentemente dessa atribuição ser para um grupo de gerenciamento, uma assinatura, um grupo de recursos ou um recurso individual. Este artigo mostra as etapas necessárias para entender e realizar a correção com o Azure Policy.

Como o controle de acesso de correção funciona

Quando o Azure Policy inicia uma implantação de modelo ao avaliar políticas deployIfNotExists ou modifica um recurso ao avaliar políticas de modificação, ele faz isso usando uma identidade gerenciada associada à atribuição de política. As atribuições de política usam identidades gerenciadas para autorização de recursos do Azure. As atribuições de política podem usar uma identidade gerenciada atribuída pelo sistema criada pelo serviço de política ou uma identidade atribuída pelo usuário fornecida pelo usuário. É necessário atribuir à identidade gerenciada as funções mínimas necessárias de controle de acesso baseado em função (RBAC) para corrigir os recursos. Se a identidade gerenciada tiver funções ausentes, esse erro será exibido no portal durante a atribuição da política ou uma iniciativa. Quando o portal é usado, o Azure Policy concederá automaticamente a identidade gerenciada às funções listadas quando a atribuição for iniciada. Ao usar um kit de desenvolvimento de software (SDK) do Azure, as funções devem ser concedidas manualmente à identidade gerenciada. O local da identidade gerenciada não afeta a operação com o Azure Policy.

Observação

A alteração de uma definição de política não atualiza automaticamente a atribuição ou a identidade gerenciada associada.

A segurança da correção pode ser configurada por meio das seguintes etapas:

• Configurar a definição de política
• Configurar a identidade gerenciada
• Conceder permissões à identidade gerenciada por meio de funções definidas
• Criar uma tarefa de correção

Configurar a definição de política

Como pré-requisito, uma definição de política precisa definir as funções de que deployIfNotExists e modify precisam para implantar com êxito o conteúdo do modelo incluído. Nenhuma ação é necessária para uma definição de política interna porque essas funções são preenchidas previamente. Para uma definição de política personalizada, na propriedade detalhes, adicione uma propriedade roleDefinitionIds. Essa propriedade é uma matriz de cadeias de caracteres que correspondem a funções no ambiente. Para ver um exemplo completo, veja exemplo de deployIfNotExists ou exemplos de modify.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

A propriedade roleDefinitionIds usa todo o identificador de recurso e não adota o roleName abreviado da função. Para obter a ID para a função "Colaborador" em seu ambiente, use o seguinte código da CLI do Azure:

az role definition list --name "Contributor"

Importante

As permissões devem ser restritas ao menor conjunto possível ao definir roleDefinitionIds em uma definição de política ou atribuir permissões a uma identidade gerenciada manualmente. Confira Recomendações de melhores práticas para identidade gerenciada para conhecer mais melhores práticas.

Configurar a identidade gerenciada

Cada atribuição de Azure Policy pode ser associada a apenas uma identidade gerenciada. No entanto, a identidade gerenciada pode ser atribuída a várias funções. A configuração ocorre em duas etapas: primeiro, crie uma identidade gerenciada atribuída pelo sistema ou pelo usuário e conceda a ela as funções necessárias.

Observação

Ao criar uma identidade gerenciada por meio do portal, as funções serão concedidas automaticamente a ela. Se roleDefinitionIds forem editados posteriormente na definição da política, as novas permissões deverão ser concedidas manualmente, mesmo no portal.

Criar a identidade gerenciada

Portal

Ao criar uma atribuição usando o portal, o Azure Policy pode gerar uma identidade gerenciada atribuída pelo sistema e conceder a ela as funções definidas na roleDefinitionIds da definição de política. Como alternativa, você pode especificar uma identidade gerenciada atribuída pelo usuário que recebe a mesma atribuição de função.

Para definir uma identidade gerenciada atribuída pelo sistema no portal:

1. Na guia Correção da exibição de atribuição criar/editar, em Tipos de Identidade gerenciada, verifique se a Identidade gerenciada atribuída pelo sistema está selecionada.

2. Especifique o local no qual a identidade gerenciada deve ser localizada.

3. Não atribua um escopo para a identidade gerenciada atribuída pelo sistema porque o escopo será herdado do escopo de atribuição.

Para definir uma identidade gerenciada atribuída pelo usuário no portal:

1. Na guia Correção da exibição de atribuição criar/editar, em Tipos de Identidade gerenciada, verifique se a Identidade gerenciada atribuída pelo usuário está selecionada.

2. Especifique o escopo em que a identidade gerenciada está hospedada. O escopo da identidade gerenciada não precisa ser igual ao escopo da atribuição, mas deve estar no mesmo locatário.

3. Em Identidades atribuídas pelo usuário existentes, selecione a identidade gerenciada.

PowerShell

Para criar uma identidade durante a atribuição da política, o Local deve ser definido e a Identidade deve ser usada.

O exemplo a seguir obtém a definição da política interna Implantar Transparent Data Encryption no BD SQL, define o grupo de recursos de destino e, em seguida, cria a atribuição usando a identidade gerenciada atribuída pelo sistema.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

O exemplo a seguir obtém a definição da política interna Implantar Transparent Data Encryption do Banco de Dados SQL, define o grupo de recursos de destino e, em seguida, cria a atribuição usando a identidade gerenciada atribuída pelo usuário.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

A variável $assignment agora contém a ID da entidade de segurança referente à identidade gerenciada, juntamente com os valores padrão retornados durante a criação de uma atribuição de política. Ela pode ser acessada por $assignment.Identity.PrincipalId para identidades gerenciadas atribuídas pelo sistema e $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId para identidades gerenciadas atribuídas pelo usuário.

CLI do Azure

Para criar uma identidade durante a atribuição da política, use comandos az policy assignment create comos parâmetros --location, --mi-system-assigned, --mi-user-assigned e --identity-scope dependendo de a identidade gerenciada ser atribuída pelo sistema ou pelo usuário.

Para adicionar uma identidade atribuída pelo sistema ou uma identidade atribuída pelo usuário a uma atribuição de política, os comandos az policy assignment identity assign de exemplo.

Conceder permissões à identidade gerenciada por meio de funções definidas

Importante

Se a identidade gerenciada não tiver as permissões necessárias para executar a tarefa de correção necessária, ela receberá permissões automaticamente somente por meio do portal. Você poderá ignorar essa etapa se estiver criando uma identidade gerenciada por meio do portal.

Para todos os outros métodos, a identidade gerenciada da atribuição deve receber acesso manualmente por meio da adição de funções, ou a implantação da correção falhará.

Cenários de exemplo que exigem permissões manuais:

• Se a atribuição for criada por meio de um SDK (kit de desenvolvimento de software) do Azure
• Se um recurso modificado por deployIfNotExists ou modify estiver fora do escopo da atribuição de política
• Se o modelo acessar propriedades em recursos fora do escopo da atribuição de política

Portal

Há duas maneiras de conceder uma identidade gerenciada da atribuição às funções definidas pelo portal: usando Controle de acesso (IAM) ou editando a atribuição de política ou iniciativa e clicando em Salvar.

Para adicionar uma função à identidade gerenciada da atribuição, siga estas etapas:

1. Inicie o serviço do Azure Policy no portal do Azure selecionando Todos os serviços e, em seguida, pesquisando e selecionando Política.

2. Selecione Atribuições no lado esquerdo da página de Política do Azure.

3. Localize a atribuição que tem uma identidade gerenciada e clique no nome.

4. Localize a propriedade ID de Atribuição na página de edição. A ID de atribuição será algo como:

   /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   O nome da identidade gerenciada é a última parte da ID do recurso de atribuição, que é 2802056bfc094dfb95d4d7a5 neste exemplo. Copie essa parte da ID do recurso da atribuição.

5. Navegue até o recurso ou os recursos do contêiner pai (grupo de recursos, assinatura, grupo de gerenciamento) que precisa na definição de função adicionada manualmente.

6. Clique no link Controle de acesso (IAM) na página de recursos e clique em + Adicionar atribuição de função na parte superior da página do controle de acesso.

7. Selecione a função apropriada que corresponde a roleDefinitionId da definição de política. Deixe Atribuir acesso definido como o padrão de 'Usuário, grupo ou aplicativo do Azure AD'. Na caixa Selecionar, cole ou digite a parte da ID do recurso de atribuição localizada anteriormente. Depois que a pesquisa for concluída, clique no objeto com o mesmo nome para selecionar a ID e clique em Salvar.

PowerShell

A nova identidade gerenciada deve concluir a replicação por meio do Azure Active Directory antes que possam ser concedidas a ela as funções necessárias. Após a conclusão da replicação, o exemplo a seguir itera a definição de política em $policyDef para roleDefinitionIds e usa New-AzRoleAssignment para conceder as funções à nova identidade gerenciada.

Especificamente, o primeiro exemplo mostra como conceder funções no escopo da política. O segundo exemplo demonstra como conceder funções no escopo da iniciativa (conjunto de políticas).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

CLI do Azure

A nova identidade gerenciada deve concluir a replicação por meio do Azure Active Directory antes que possam ser concedidas a ela as funções necessárias. Depois que a replicação for concluída, as funções especificadas nas roleDefinitionIds da definição de política deverão ser concedidas à identidade gerenciada.

Acesse as funções especificadas na definição de política usando o comando az policy definition show e itere em cada roleDefinitionId para criar a atribuição de função usando o comando az role assignment create.

Criar uma tarefa de correção

Portal

Inicie o serviço do Azure Policy no portal do Azure selecionando Todos os serviços e, em seguida, pesquisando e selecionando Política.

Etapa 1: iniciar a criação da tarefa de correção

Há três maneiras de criar uma tarefa de correção por meio do portal.

Opção 1: criar uma tarefa de correção na página Correção

1. Selecione Correção no lado esquerdo da página do Azure Policy.

   

2. Todas as atribuições de política deployIfNotExists e modify são mostradas na guia Políticas para corrigir. Selecione uma com recursos que não estejam em conformidade para abrir a página Nova tarefa de correção.

3. Siga as etapas para especificar os detalhes da tarefa de correção.

Opção 2: criar uma tarefa de correção com base em uma atribuição de política sem conformidade

1. Selecione Conformidade no lado esquerdo da página do Azure Policy.

2. Selecione uma atribuição de política ou iniciativa sem conformidade que contenha os efeitos deployIfNotExists ou modify.

3. Selecione o botão Criar Tarefa de Correção na parte superior da página para abrir a página Nova tarefa de correção.

4. Siga as etapas para especificar os detalhes da tarefa de correção.

Opção 3: criar uma tarefa de correção durante a atribuição de política

Se a definição de política ou iniciativa a ser atribuída tiver um efeito deployIfNotExists ou Modify, a guia Correção do assistente oferecerá uma opção Criar uma tarefa de correção, que criará uma tarefa de correção ao mesmo tempo que a atribuição de política.

Observação

Essa é a abordagem mais simplificada para criar uma tarefa de correção e tem suporte para políticas atribuídas em uma assinatura. Para políticas atribuídas em um grupo de gerenciamento, as tarefas de correção devem ser criadas usando a Opção 1 ou a Opção 2 após a avaliação determinar a conformidade do recurso.

1. No assistente de atribuição no portal, navegue até a guia Correção. Marque a caixa de seleção para Criar uma tarefa de correção.

2. Se a tarefa de correção for iniciada com base em uma atribuição de iniciativa, selecione a política para corrigir na lista suspensa.

3. Configure a identidade gerenciada e preencha o restante do assistente. A tarefa de correção será criada quando a atribuição for criada.

Etapa 2: especificar os detalhes da tarefa de correção

Essa etapa só é aplicável ao usar a Opção 1 ou a Opção 2 para iniciar a criação de tarefas de correção.

1. Se a tarefa de correção for iniciada com base em uma atribuição de iniciativa, selecione a política para corrigir na lista suspensa. Uma política deployIfNotExists ou modify pode ser corrigida por meio de uma tarefa de correção por vez.

2. Opcionalmente, modifique as configurações de correção na página. Para obter informações sobre o que cada configuração controla, confiraestrutura de tarefas de correção.

3. Na mesma página, filtre os recursos a serem corrigidos usando as reticências de Escopo para escolher os recursos filho nos quais a política está atribuída (incluindo até os objetos do recurso individuais). Além disso, use a lista suspensa Locais para filtrar ainda mais os recursos.

   

4. Inicie a tarefa de correção depois que os recursos forem filtrados clicando em Corrigir. A página de conformidade de política abre na guia Tarefas de correção para mostrar o estado do progresso das tarefas. As implantações criadas pela tarefa de correção são iniciadas imediatamente.

   

Etapa 3: acompanhar o andamento da tarefa de correção

1. Navegue até a guia Tarefas de correção na página Correção. Clique em uma tarefa de correção para exibir os detalhes da filtragem usada, o status atual e uma lista de recursos que estão sendo corrigidos.

2. Na página de detalhes da Tarefa de correção, clique com o botão direito do mouse em um recurso para exibir o recurso ou a implantação da tarefa de correção. No final da linha, clique em Eventos relacionados para ver os detalhes, como uma mensagem de erro.

   

Os recursos implantados por meio de uma tarefa de correção são adicionados à guia Recursos Implantados na página de detalhes da atribuição de política.

PowerShell

Para criar uma tarefa de correção com o Azure PowerShell, use os comandos Start-AzPolicyRemediation. Substitua {subscriptionId} pela sua ID da assinatura e {myAssignmentId} pela ID da atribuição de política deployIfNotExists ou modify.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Você também pode optar por ajustar as configurações de correção por meio destes parâmetros opcionais:

• -FailureThreshold - usado para especificar se a tarefa de correção deve falhar se o percentual de falhas exceder o limite especificado. Fornecido como um número entre 0 e 100. Por padrão, o limite de falha é de 100%.
• -ResourceCount - determina quantos recursos não compatíveis serão corrigidos em uma determinada tarefa de correção. O valor padrão é 500 (o limite anterior). O número máximo é de 50 mil recursos.
• -ParallelDeploymentCount - determina quantos recursos serão remediados ao mesmo tempo. Os valores permitidos são de 1 a 30 recursos por vez. O valor padrão é 10.

Para conhecer mais cmdlets e exemplos de correção, veja o módulo AZ.PolicyInsights.

CLI do Azure

Para criar uma tarefa de correção com a CLI do Azure, use os comandos az policy remediation. Substitua {subscriptionId} pela sua ID da assinatura e {myAssignmentId} pela ID da atribuição de política deployIfNotExists ou modify.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Para conhecer mais comandos e exemplos de correção, veja os comandos az policy remediation.

Próximas etapas

• Examine os exemplos em amostras do Azure Policy.
• Revise a estrutura de definição do Azure Policy.
• Revisar Compreendendo os efeitos da política.
• Entenda como criar políticas de forma programática.
• Saiba como obter dados de conformidade.
• Veja o que é um grupo de gerenciamento com Organizar seus recursos com grupos de gerenciamento do Azure.