uyumlu olmayan kaynakları Azure İlkesi ile düzeltme

deployIfNotExists veya değişiklik efektlerine sahip ilkelerle uyumlu olmayan kaynaklar, Düzeltme aracılığıyla uyumlu bir duruma getirilebilir. Düzeltme, deployIfNotExists şablonunu dağıtan düzeltme görevleri veya atamanın bir yönetim grubunda, abonelikte, kaynak grubunda veya tek bir kaynakta olmasına bakılmaksızın mevcut kaynaklarınızda ve aboneliklerinizde atanan ilkenin değişiklik işlemleriyle gerçekleştirilir. Bu makalede, Azure İlkesi ile düzeltmeyi anlamak ve gerçekleştirmek için gereken adımlar gösterilmektedir.

Düzeltme erişim denetimi nasıl çalışır?

Azure İlkesi deployIfNotExists ilkelerini değerlendirirken şablon dağıtımı başlattığında veya değiştirme ilkelerini değerlendirirken bir kaynağı değiştirdiğinde, ilke atamasıyla ilişkili yönetilen kimliği kullanarak bunu yapar. İlke atamaları, Azure kaynak yetkilendirmesi için yönetilen kimlikleri kullanır. İlke hizmeti tarafından oluşturulmuş bir sistem tarafından atanan yönetilen kimlik veya kullanıcı tarafından sağlanan bir kullanıcı tarafından atanan kimlik kullanabilirsiniz. Yönetilen kimliğe kaynakları düzeltmek için gereken en düşük rol tabanlı erişim denetimi (RBAC) rolleri atanmalıdır. Yönetilen kimliğin rolleri eksikse, ilkenin veya girişimin ataması sırasında portalda bir hata görüntülenir. Portal kullanılırken, atama başlatıldıktan sonra Azure İlkesi yönetilen kimliğe listelenen rolleri otomatik olarak verir. Azure yazılım geliştirme seti (SDK) kullanılırken, roller yönetilen kimliğe el ile verilmelidir. Yönetilen kimliğin konumu, Azure İlkesi işlemini etkilemez.

Dekont

İlke tanımının değiştirilmesi atamayı veya ilişkili yönetilen kimliği otomatik olarak güncelleştirmez.

Düzeltme güvenliği aşağıdaki adımlarla yapılandırılabilir:

• İlke tanımını yapılandırma
• Yönetilen kimliği yapılandırma
• Tanımlı roller aracılığıyla yönetilen kimliğe izin verme
• Düzeltme görevi oluşturma

İlke tanımını yapılandırma

Önkoşul olarak, ilke tanımının deployIfNotExists rollerini tanımlaması ve eklenen şablonun içeriğini başarıyla dağıtma gereksinimini değiştirmesi gerekir. Yerleşik ilke tanımı için eylem gerekmez çünkü bu roller önceden doldurulur. Özel ilke tanımı için details özelliğinin altına roleDefinitionIds özelliği ekleyin. Bu özellik, ortamınızdaki rollerle eşleşen dize dizisidir. Tam bir örnek için deployIfNotExists örneğine veya değiştirme örneklerine bakın.

"details": {
    ...
    "roleDefinitionIds": [
        "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/{roleGUID}",
        "/providers/Microsoft.Authorization/roleDefinitions/{builtinroleGUID}"
    ]
}

roleDefinitionIds özelliği tam kaynak tanımlayıcısını kullanır ve rolün kısa roleName değerini almaz. Ortamınızda 'Katkıda Bulunan' rolünün kimliğini almak için aşağıdaki Azure CLI kodunu kullanın:

az role definition list --name "Contributor"

Önemli

İzinler, bir ilke tanımı içinde roleDefinitionId'leri tanımlarken veya yönetilen kimliğe el ile izin atarken mümkün olan en küçük kümeyle kısıtlanmalıdır. Daha fazla en iyi deneyim için bkz . yönetilen kimlik en iyi uygulama önerileri .

Yönetilen kimliği yapılandırma

Her Azure İlkesi ataması yalnızca bir yönetilen kimlikle ilişkilendirilebilir. Ancak yönetilen kimliğe birden çok rol atanabilir. Yapılandırma iki adımda gerçekleşir: önce sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği oluşturun, ardından gerekli rolleri verin.

Dekont

Portal aracılığıyla yönetilen kimlik oluştururken, roller yönetilen kimliğe otomatik olarak verilir. roleDefinitionIds daha sonra ilke tanımında düzenlenirse, yeni izinler portalda bile el ile verilmelidir.

Yönetilen kimliği oluşturma

Portal

Portalı kullanarak atama oluştururken, Azure İlkesi sistem tarafından atanan bir yönetilen kimlik oluşturabilir ve ilke tanımının roleDefinitionId'lerinde tanımlanan rolleri verebilir. Alternatif olarak, aynı rol atamasını alan kullanıcı tarafından atanan yönetilen kimliği belirtebilirsiniz.

Portalda sistem tarafından atanan yönetilen kimliği ayarlamak için:

1. Atama oluşturma/düzenleme görünümünün Düzeltme sekmesinde, Yönetilen Kimlik Türleri'nin altında Sistem tarafından atanan yönetilen kimliğin seçildiğinden emin olun.

2. Yönetilen kimliğin bulunacağı konumu belirtin.

3. Kapsam atama kapsamından devralınacağından, sistem tarafından atanan yönetilen kimlik için kapsam atayın.

Portalda kullanıcı tarafından atanan yönetilen kimliği ayarlamak için:

1. Atama oluşturma/düzenleme görünümünün Düzeltme sekmesinde, Yönetilen Kimlik Türleri'nin altında Kullanıcı tarafından atanan yönetilen kimliğin seçildiğinden emin olun.

2. Yönetilen kimliğin barındırıldığı kapsamı belirtin. Yönetilen kimliğin kapsamının atamanın kapsamına eşit olması gerekmez, ancak aynı kiracıda olması gerekir.

3. Mevcut kullanıcı tarafından atanan kimlikler'in altında yönetilen kimliği seçin.

PowerShell

İlkenin atanması sırasında kimlik oluşturmak için Konum tanımlanmalıdır ve Kimlik kullanılmalıdır.

Aşağıdaki örnek, SQL DB saydam veri şifrelemesini dağıtma yerleşik ilkesinin tanımını alır, hedef kaynak grubunu ayarlar ve ardından sistem tarafından atanan yönetilen kimliği kullanarak atamayı oluşturur.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Aşağıdaki örnek, SQL DB saydam veri şifrelemesini dağıtma yerleşik ilkesinin tanımını alır, hedef kaynak grubunu ayarlar ve kullanıcı tarafından atanan yönetilen kimliği kullanarak atamayı oluşturur.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Değişkeni $assignment artık yönetilen kimliğin asıl kimliğini ve ilke ataması oluşturulurken döndürülen standart değerleri içerir. Sistem tarafından atanan yönetilen kimlikler ve $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId kullanıcı tarafından atanan yönetilen kimlikler için üzerinden $assignment.Identity.PrincipalId erişilebilir.

Azure CLI

İlke ataması sırasında kimlik oluşturmak için, yönetilen kimliğin sistem tarafından atanması mı yoksa kullanıcı tarafından atanması mı gerektiğine bağlı olarak az policy assignment create komutlarını --location, --mi-system-ssigned, --mi-user-ssigned ve --identity-scope parametreleriyle kullanın.

İlke atamasına sistem tarafından atanan bir kimlik veya kullanıcı tarafından atanan bir kimlik eklemek için az policy assignment identity assign komutlarını izleyin.

Tanımlı roller aracılığıyla yönetilen kimliğe izin verme

Önemli

Yönetilen kimlik, gerekli düzeltme görevini yürütmek için gereken izinlere sahip değilse, yalnızca portal aracılığıyla otomatik olarak izinler verilir. Portal üzerinden yönetilen kimlik oluşturuyorsanız bu adımı atlayabilirsiniz.

Diğer tüm yöntemler için, atamanın yönetilen kimliğine rollerin eklenmesiyle el ile erişim verilmelidir, aksi takdirde düzeltme dağıtımı başarısız olur.

El ile izin gerektiren örnek senaryolar:

• Atama bir Azure yazılım geliştirme seti (SDK) aracılığıyla oluşturulduysa
• deployIfNotExists veya modify tarafından değiştirilen bir kaynak ilke atamasının kapsamı dışındaysa
• Şablon, ilke atamasının kapsamı dışındaki kaynaklardaki özelliklere erişiyorsa

Portal

Portalı kullanarak bir atamanın yönetilen kimliğine tanımlı rolleri vermenin iki yolu vardır: Erişim denetimini (IAM) kullanarak veya ilkeyi veya girişim atamasını düzenleyip Kaydet'i seçerek.

Atamanın yönetilen kimliğine rol eklemek için şu adımları izleyin:

1. Azure portalında Tüm hizmetler'i seçip İlke'yi arayarak ve seçerek Azure İlkesi hizmetini başlatın.

2. Azure İlkesi sayfasının sol tarafından Atamalar'ı seçin.

3. Yönetilen kimliği olan atamayı bulun ve adı seçin.

4. Düzenleme sayfasında Atama Kimliği özelliğini bulun. Atama kimliği şuna benzer olacaktır:

   /subscriptions/{subscriptionId}/resourceGroups/PolicyTarget/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Yönetilen kimliğin adı, atama kaynak kimliğinin son bölümüdür ve bu örnekte yer 2802056bfc094dfb95d4d7a5 alır. Atama kaynak kimliğinin bu bölümünü kopyalayın.

5. Rol tanımının el ile eklenmesi gereken kaynağa veya kaynak üst kapsayıcısına (kaynak grubu, abonelik, yönetim grubu) gidin.

6. Kaynaklar sayfasında Erişim denetimi (IAM) bağlantısını seçin ve ardından erişim denetimi sayfasının üst kısmındaki + Rol ataması ekle'yi seçin.

7. İlke tanımından roleDefinitionId ile eşleşen uygun rolü seçin. Varsayılan 'Azure AD kullanıcısı, grubu veya uygulaması' olarak ayarlamak için Erişim ata'yı bırakın. Seç kutusuna, atama kaynak kimliğinin daha önce bulunan bölümünü yapıştırın veya yazın. Arama tamamlandıktan sonra, kimliği seçmek için aynı ada sahip nesneyi seçin ve Kaydet'i seçin.

PowerShell

Yeni yönetilen kimliğin gerekli rolleri verebilmesi için önce Azure Active Directory aracılığıyla çoğaltmayı tamamlaması gerekir. Çoğaltma tamamlandıktan sonra, aşağıdaki örneklerde roleDefinitionIds için içindeki $policyDef ilke tanımı yinelenir ve yeni yönetilen kimliğe rolleri vermek için New-AzRoleAssignment kullanılır.

Özellikle, ilk örnekte ilke kapsamında rol verme gösterilmektedir. İkinci örnek, girişim (ilke kümesi) kapsamında rol verme işlemini gösterir.

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Azure CLI

Yeni yönetilen kimliğin gerekli rolleri verebilmesi için önce Azure Active Directory aracılığıyla çoğaltmayı tamamlaması gerekir. Çoğaltma tamamlandıktan sonra, yönetilen kimliğe ilke tanımının roleDefinitionIds içinde belirtilen roller verilmelidir.

az policy definition show komutunu kullanarak ilke tanımında belirtilen rollere erişin, ardından az role assignment create komutunu kullanarak rol atamasını oluşturmak için her roleDefinitionId üzerinde yineleyin.

Düzeltme görevi oluşturma

Portal

Azure portalında Tüm hizmetler'i seçip İlke'yi arayarak ve seçerek Azure İlkesi hizmetini başlatın.

1. Adım: Düzeltme görevi oluşturmayı başlatma

Portal aracılığıyla bir düzeltme görevi oluşturmanın üç yolu vardır.

1. Seçenek: Düzeltme sayfasından düzeltme görevi oluşturma

1. Azure İlkesi sayfasının sol tarafındaki Düzeltme'yi seçin.

   

2. Düzeltme ilkeleri sekmesinde tüm deployIfNotExists ve değişiklik ilkesi atamaları gösterilir. Yeni düzeltme görevi sayfasını açmak için uyumlu olmayan kaynakları olan bir tane seçin.

3. Düzeltme görevi ayrıntılarını belirtmek için adımları izleyin.

Seçenek 2: Uyumlu olmayan bir ilke atamasından düzeltme görevi oluşturma

1. Azure İlkesi sayfasının sol tarafındaki Uyumluluk'a tıklayın.

2. deployIfNotExists veya değişiklik efektleri içeren uyumlu olmayan bir ilke veya girişim ataması seçin.

3. Sayfanın üst kısmındaki Düzeltme Görevi Oluştur düğmesini seçerek Yeni düzeltme görevi sayfasını açın.

4. Düzeltme görevi ayrıntılarını belirtmek için adımları izleyin.

3. Seçenek: İlke ataması sırasında düzeltme görevi oluşturma

Atanacak ilke veya girişim tanımında deployIfNotExists veya Modify etkisi varsa, sihirbazın Düzeltme sekmesi düzeltme görevi oluştur seçeneği sunar ve bu seçenek ilke atamasıyla aynı anda bir düzeltme görevi oluşturur.

Dekont

Bu, düzeltme görevi oluşturmaya yönelik en kolay yaklaşımdır ve abonelikte atanan ilkeler için desteklenir. Bir yönetim grubuna atanan ilkeler için, değerlendirme kaynak uyumluluğu belirlendikten sonra düzeltme görevleri Seçenek 1 veya Seçenek 2 kullanılarak oluşturulmalıdır.

1. Portaldaki atama sihirbazından Düzeltme sekmesine gidin. Düzeltme görevi oluştur onay kutusunu seçin.

2. Düzeltme görevi bir girişim atamasından başlatılırsa, açılan listeden düzeltmek için ilkeyi seçin.

3. Yönetilen kimliği yapılandırın ve sihirbazın geri kalanını doldurun. Atama oluşturulduğunda düzeltme görevi oluşturulur.

2. Adım: Düzeltme görevi ayrıntılarını belirtme

Bu adım yalnızca düzeltme görevi oluşturma işlemini başlatmak için Seçenek 1 veya Seçenek 2 kullanıldığında geçerlidir.

1. Düzeltme görevi bir girişim atamasından başlatılırsa, açılan listeden düzeltmek için ilkeyi seçin. Tek seferde tek bir Düzeltme görevi aracılığıyla tek bir deployIfNotExists veya değiştirme ilkesi düzeltilebilir.

2. İsteğe bağlı olarak sayfadaki düzeltme ayarlarını değiştirin. Her ayarın neleri denetlediğini öğrenmek için bkz . düzeltme görevi yapısı.

3. Aynı sayfada, ilkenin atandığı alt kaynakları seçmek için Kapsam üç noktalarını kullanarak (tek tek kaynak nesnelerine kadar) kaynakları filtreleyin. Ayrıca, kaynakları daha fazla filtrelemek için Konumlar açılan listesini kullanın.

   

4. Kaynaklar filtrelendikten sonra Düzelt'i seçerek düzeltme görevine başlayın. İlke uyumluluk sayfası, görevlerin ilerleme durumunu göstermek için Düzeltme görevleri sekmesinde açılır. Düzeltme görevi tarafından oluşturulan dağıtımlar hemen başlar.

   

3. Adım: Düzeltme görevi ilerleme durumunu izleme

1. Düzeltme sayfasındaki Düzeltme görevleri sekmesine gidin. Kullanılan filtreleme, geçerli durum ve düzeltilmekte olan kaynakların listesini görüntülemek için bir düzeltme görevine tıklayın.

2. Düzeltme görevi ayrıntıları sayfasında bir kaynağa sağ tıklayarak düzeltme görevinin dağıtımını veya kaynağını görüntüleyin. Hata iletisi gibi ayrıntıları görmek için satırın sonunda İlgili olaylar'ı seçin.

   

Bir düzeltme görevi aracılığıyla dağıtılan kaynaklar, ilke atama ayrıntıları sayfasındaki Dağıtılan Kaynaklar sekmesine eklenir.

PowerShell

Azure PowerShell ile bir düzeltme görevi oluşturmak için komutlarını Start-AzPolicyRemediation kullanın. değerini abonelik kimliğiniz ve {myAssignmentId} deployIfNotExists ile değiştirin {subscriptionId} veya ilke atama kimliğinizi değiştirin.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Düzeltme ayarlarını şu isteğe bağlı parametreler aracılığıyla da ayarlayabilirsiniz:

• -FailureThreshold - Hata yüzdesi verilen eşiği aşarsa düzeltme görevinin başarısız olup olmayacağını belirtmek için kullanılır. 0 ile 100 arasında bir sayı olarak sağlanır. Varsayılan olarak hata eşiği %100'dür.
• -ResourceCount - Belirli bir düzeltme görevinde kaç uyumsuz kaynağın düzeltileceğini belirler. Varsayılan değer 500'dür (önceki sınır). Maksimum sayı 50.000 kaynaktır.
• -ParallelDeploymentCount - Aynı anda kaç kaynağın düzeltileceğini belirler. İzin verilen değerler bir kerede 1 ile 30 kaynaktır. Varsayılan değer 10'dur.

Daha fazla düzeltme cmdlet'i ve örnek için Az.Policy Analizler modülüne bakın.

Azure CLI

Azure CLI ile bir düzeltme görevi oluşturmak için komutlarını az policy remediation kullanın. değerini abonelik kimliğiniz ve {myAssignmentId} deployIfNotExists ile değiştirin {subscriptionId} veya ilke atama kimliğinizi değiştirin.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Daha fazla düzeltme komutu ve örneği için bkz . az policy remediation komutları.

Sonraki adımlar

• örnekleri Azure İlkesi gözden geçirin.
• Azure İlkesi tanımı yapısını gözden geçirin.
• İlkenin etkilerini anlama konusunu gözden geçirin.
• Program aracılığıyla ilkelerin nasıl oluşturulacağını anlama.
• Uyumluluk verilerini almayı öğrenin.
• Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile yönetim grubunun ne olduğunu gözden geçirin.