Исправление несоответствующих ресурсов с помощью службы "Политика Azure"

При создании назначения с помощью портала Политика Azure может создать управляемое удостоверение, системно назначаемое системой, и предоставить ему роли, определенные в определении roleDefinitionIds политики. Кроме того, можно указать учрежденное пользователем управляемое удостоверение, которое получает то же назначение ролей.

Чтобы задать управляемое удостоверение, которое назначается системой, в портале, выполните следующие действия:

1. В разделе Types of Managed Identity (Типы управляемого удостоверения) на вкладке Исправление представления создания/изменения назначения выберите параметр Управляемое удостоверение, назначаемое системой.

2. Укажите расположение, где будет находиться управляемое удостоверение.

3. Не назначайте область для управляемого удостоверения, назначенной системой, так как эта область наследуется от области назначения.

Чтобы задать управляемую идентичность, назначаемую пользователем, в портале, следуйте этим шагам:

1. В разделе Types of Managed Identity (Типы управляемого удостоверения) на вкладке Исправление представления создания/изменения назначения выберите параметр Управляемое удостоверение, назначаемое пользователем.

2. Укажите область действия, в которой размещается управляемое удостоверение. Область управляемого удостоверения не должна совпадать с областью назначения, но она должна находиться в одном арендаторе.

3. В разделе Уже назначенные пользователям удостоверения выберите управляемое удостоверение.

Для создания идентификатора при назначении политики необходимо определить Location и использовать Identity.

В следующем примере получается определение встроенной политики Развертывания прозрачного шифрования данных SQL DB, задает целевую группу ресурсов, а затем создает назначение с помощью управляемого удостоверения, назначенного системой.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

Следующий пример получает определение встроенной политики Развернуть прозрачное шифрование базы данных SQL, задает целевую группу ресурсов, а затем создает назначение с использованием управляемого удостоверения, назначаемого пользователем.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

Переменная $assignment теперь содержит основной идентификатор управляемого удостоверения, а также стандартные значения, возвращаемые при создании политического назначения. Доступ к нему можно получить с помощью $assignment.Identity.PrincipalId ( для управляемых удостоверений, назначаемых системой) или $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId (для управляемых удостоверений, назначаемых пользователем).

Чтобы создать удостоверение во время назначения политики, используйте команды az policy assignment create с параметрами --location, --mi-system-assigned, --mi-user-assigned и --identity-scope в зависимости от того, следует ли назначить управляемое удостоверение, устанавливаемое системой или пользователем.

Чтобы добавить системное или пользовательское удостоверение в назначение политики, следуйте примеру команд az policy assignment identity assign.

На портале управляемому удостоверению назначения можно присвоить определенные роли двумя способами: используя раздел Управление доступом (IAM) либо изменив назначение политики или инициативы и выбрав Сохранить.

Чтобы добавить роль управляемому удостоверению назначения, выполните следующие действия:

1. Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

2. Выберите Назначения на странице службы Политики Azure слева.

3. Найдите назначение, которое имеет управляемую идентичность, и щелкните его имя.

4. Найдите свойство Идентификатор назначения на странице изменения. Идентификатор назначения выглядит следующим образом:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   Имя управляемого удостоверения — это последняя часть идентификатора ресурса назначения (в этом примере 2802056bfc094dfb95d4d7a5). Скопируйте эту часть идентификатора ресурса назначения.

5. Перейдите к ресурсу или родительскому контейнеру ресурсов (группа ресурсов, подписка, группа управления), для которого нужно вручную добавить определение роли.

6. Щелкните ссылку Управление доступом (IAM) на странице ресурсов и выберите + Добавить назначение ролей в верхней части страницы управления доступом.

7. Выберите соответствующую роль, соответствующую roleDefinitionIds определению политики. Оставьте Назначение доступа в значении по умолчанию "пользователь, группа или приложение". В поле Выберите вставьте или введите часть идентификатора ресурса назначения, обнаруженного ранее. После завершения поиска щелкните объект с тем же именем, чтобы выбрать идентификатор, и нажмите кнопку Сохранить.

Новое управляемое удостоверение должно завершить репликацию в Microsoft Entra ID, прежде чем ему будут назначены необходимые роли. После завершения репликации в следующих примерах выполняется построчная итерация определения политики в $policyDef для roleDefinitionIds, и используется New-AzRoleAssignment, чтобы предоставить новому управляемому удостоверению роли.

В частности, в первом примере показано, как назначать роли в контексте политики. Во втором примере показано, как предоставить роли на уровне инициативы (набора политик).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

Новое управляемое удостоверение должно завершить репликацию в Microsoft Entra ID, прежде чем ему будут предоставлены необходимые роли. После завершения репликации указанные в определении политики roleDefinitionIds роли должны быть предоставлены управляемому удостоверению.

Перейдите к ролям, указанным в определении политики, с помощью команды az policy definition show , а затем выполните итерацию по каждому roleDefinitionIds заданию роли с помощью команды az role assignment create .

Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

Шаг 1. Запуск создания задачи исправления

Существует три способа создать задачу исправления с помощью портала.

Вариант 1. Создание задачи исправления на странице "Исправление"

1. Выберите Исправление на странице службы "Политика Azure" слева.

   

2. На вкладке Политики для исправления отображаются все deployIfNotExists и modify назначения политик. Выберите одно из несоответствующих ресурсов, чтобы открыть страницу Новая задача на исправление.

3. Выполните действия, чтобы указать сведения о задаче исправления.

Вариант 2. Создание задачи исправления из несоответствующего назначения политики

1. Выберите Соответствие на странице Политики Azure слева.

2. Выберите политику или распределение инициативы, не соответствующие нормам, содержащие deployIfNotExists или modify эффекты.

3. Нажмите кнопку Создать задачу исправления в верхней части страницы, чтобы открыть страницу Новая задача исправления.

4. Выполните действия, чтобы указать сведения о задаче исправления.

Вариант 3. Создание задачи исправления в процессе назначения политики

Если определение политики или инициативы для назначения имеет эффект deployIfNotExists или modify, вкладка Исправление мастера предлагает параметр Создать задачу исправления, что позволяет создать задачу исправления одновременно с назначением политики.

1. В мастере назначения на портале перейдите на вкладку Исправление. Установите флажок Создать задачу исправления.

2. Если задача исправления инициируется из назначения инициативы, выберите политику для исправления из раскрывающегося списка.

3. Настройте управляемое удостоверение и заполните остальные поля в мастере. Задача по устранению создается при создании назначения.

Шаг 2. Указание сведений о задаче исправления

Этот шаг применим только при использовании варианта 1 или варианта 2 для запуска создания задачи исправления.

1. Если задача исправления инициируется из назначения инициативы, выберите политику для исправления из выпадающего списка. За раз можно исправить одну deployIfNotExists или modify политику с помощью одной задачи исправления.

2. При необходимости измените параметры исправления на странице. Сведения о том, что контролируется каждым параметром, см. в разделе структура задач исправления.

3. На той же странице отфильтруйте ресурсы, которые нужно исправить, используя многоточие в поле Область, чтобы выбрать дочерние ресурсы, где назначена политика (в том числе отдельные объекты ресурса). Кроме того, используйте раскрывающийся список Расположения, чтобы дополнительно отфильтровать ресурсы.

   

4. Начните задачу исправления после фильтрации ресурсов, нажав кнопку "Исправить". Откроется страница соответствия политики со вкладкой Задачи исправления, где отображается состояние хода выполнения задач. Развертывания, созданные задачей исправления, запускаются сразу же.

   

Шаг 3. Отслеживание хода выполнения задачи исправления

1. Перейдите на вкладку Задачи исправления на странице Исправление. Выберите задачу исправления, чтобы просмотреть сведения об используемом фильтре, текущем состоянии и списке ресурсов, которые будут исправлены.

2. На странице сведений задачи по устранению щелкните ресурс правой кнопкой мыши, чтобы просмотреть развертывание задачи или сам ресурс. В конце записи щелкните Связанные события, чтобы просмотреть сведения, например сообщение об ошибке.

   

Ресурсы, развернутые посредством задачи исправления, добавляются на вкладку Развернутые ресурсы на странице сведений о назначении политики.

Чтобы создать задачу исправления с помощью Azure PowerShell, используйте команды Start-AzPolicyRemediation. Замените {subscriptionId} идентификатором подписки и {myAssignmentId} идентификатором deployIfNotExistsmodify назначения политики.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemediation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Вы также можете настроить параметры исправления с помощью следующих необязательных параметров:

• -FailureThreshold — Используется для указания того, должна ли задача исправления завершиться ошибкой, если процент сбоев превышает заданное пороговое значение. Укажите число от 0 до 100. По умолчанию пороговое значение для ошибок равно 100 %.
• -ResourceCount — определяет, сколько несоответствующих ресурсов будет устранено в рамках данной задачи исправления. Значение по умолчанию равно 500 (предыдущий предел). Максимальное число ресурсов равно 50 000.
• -ParallelDeploymentCount — определяет, сколько ресурсов необходимо исправлять одновременно. Допустимые значения — от 1 до 30 ресурсов одновременно. Значение по умолчанию — 10.

Дополнительные командлеты и примеры исправления см. в модуле Az.PolicyInsights.

Чтобы создать задачу исправления с помощью Azure CLI, используйте команды az policy remediation. Замените {subscriptionId} идентификатором подписки и {myAssignmentId} идентификатором deployIfNotExistsmodify назначения политики.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Для получения дополнительных команд и примеров исправления см. команды az policy remediation.