Usare Criteri di Azure per assegnare identità gestite (anteprima)
Criteri di Azure consente di imporre standard aziendali e di valutare la conformità su larga scala. Tramite il dashboard di conformità, Criteri di Azure offre una visualizzazione aggregata che consente agli amministratori di valutare lo stato complessivo dell'ambiente. È possibile eseguire il drill-down in base alla granularità per risorsa e per criterio. Consente inoltre di ottenere la conformità delle risorse tramite la correzione in blocco per le risorse esistenti e la correzione automatica per le nuove risorse. I casi d'uso comuni per Criteri di Azure includono l'implementazione della governance per:
- Coerenza delle risorse
- Conformità alle normative
- Sicurezza
- Costo
- Gestione
Le definizioni dei criteri per questi casi d'uso comuni sono già disponibili nell'ambiente Azure per iniziare facilmente a usare il servizio.
Gli agenti di monitoraggio di Azure richiedono un'identità gestita nelle macchine virtuali di Azure monitorate. Questo documento descrive il comportamento di un criterio di Azure predefinito fornito da Microsoft che consente di garantire che un'identità gestita, necessaria per questi scenari, venga assegnata alle macchine virtuali su larga scala.
Anche se è possibile usare l'identità gestita assegnata dal sistema, quando viene usata su larga scala (ad esempio, per tutte le macchine virtuali in una sottoscrizione), viene generato un numero considerevole di identità create (ed eliminate) in Microsoft Entra ID. Per evitare questo eccesso di identità, è consigliabile usare identità gestite assegnate dall'utente, che possono essere create una sola volta e condivise tra più macchine virtuali.
Definizione e dettagli dei criteri
Quando viene eseguito, il criterio svolge le azioni seguenti:
- Crea, se non esiste, una nuova identità gestita assegnata dall'utente predefinita nella sottoscrizione e in ogni area di Azure in base alle macchine virtuali incluse nell'ambito del criterio.
- Dopo la creazione, imposta un blocco sull'identità gestita assegnata dall'utente in modo che non venga eliminata accidentalmente.
- Assegna l'identità gestita assegnata dall'utente predefinita alle macchine virtuali dalla sottoscrizione e dall'area in base alle macchine virtuali incluse nell'ambito del criterio.
Nota
Se la macchina virtuale ha esattamente 1 identità gestita assegnata dall'utente già assegnata, il criterio ignora questa macchina virtuale per assegnare l'identità predefinita. Ciò consente di assicurarsi che l'assegnazione del criterio non interrompa le applicazioni con una dipendenza dal comportamento predefinito dell'endpoint del token in IMDS.
Esistono due scenari per l'utilizzo del criterio:
- Consentire al criterio di creare e usare un'identità gestita assegnata dall'utente "predefinita".
- Usare un'identità gestita assegnata dall'utente personalizzata.
Il criterio accetta i parametri di input seguenti:
- Identità gestita assegnata dall'utente personalizzata? Il criterio deve creare, se non esiste, una nuova identità gestita assegnata dall'utente?
- Se impostato su true, è necessario specificare:
- Nome dell'identità gestita.
- Gruppo di risorse contenente l'identità gestita.
- Se impostato su false, non è necessario alcun input aggiuntivo.
- Il criterio creerà l'identità gestita assegnata dall'utente necessaria denominata "identità predefinita" in un gruppo di risorse denominato "built-in-identity-rg".
- Se impostato su true, è necessario specificare:
- Restrict-Bring-Your-Own-UAMI-to-Subscription? - Quando il parametro Bring-Your-Own-UAMI è impostato su true, il criterio deve usare un'identità gestita assegnata dall'utente centralizzata o usare un'identità per ogni sottoscrizione?
- Se impostato su true, non è necessario alcun input aggiuntivo.
- I criteri useranno un'identità gestita assegnata dall'utente per ogni sottoscrizione.
- Se impostato su false, il criterio utilizzerà un'unica identità gestita assegnata dall'utente centralizzata che verrà applicata in tutte le sottoscrizioni coperte dall'assegnazione dei criteri. È necessario specificare:
- ID risorsa identità gestita assegnata dall'utente
- Se impostato su true, non è necessario alcun input aggiuntivo.
Utilizzo del criterio
Creazione dell'assegnazione dei criteri
La definizione dei criteri può essere assegnata ad ambiti diversi in Azure, a livello della sottoscrizione del gruppo di gestione o di un gruppo di risorse specifico. Poiché i criteri devono essere imposti sempre, l'operazione di assegnazione viene eseguita usando un'identità gestita associata all'oggetto assegnazione dei criteri. L'oggetto assegnazione dei criteri supporta sia le identità gestite assegnate dal sistema che quelle assegnate dall'utente. Ad esempio, Gianni può creare un'identità gestita assegnata dall'utente denominata PolicyAssignmentMI. Il criterio predefinito crea un'identità gestita assegnata dall'utente in ogni sottoscrizione e in ogni area con risorse incluse nell'ambito dell'assegnazione dei criteri. Le identità gestite assegnate dall'utente create dal criterio hanno il formato resourceId seguente:
/subscriptions/your-subscription-id/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-{location}
Ad esempio:
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/built-in-identity-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/built-in-identity-eastus
Autorizzazione necessaria
Per consentire all'identità gestita PolicyAssignmentMI di assegnare i criteri predefiniti nell'ambito specificato, sono necessarie le autorizzazioni seguenti, espresse come assegnazione di ruolo di controllo degli accessi in base al ruolo di Azure:
| Entità di sicurezza | Ruolo/Azione | Ambito | Scopo |
|---|---|---|---|
| PolicyAssigmentMI | Managed Identity Operator (Operatore per identità gestita) | /subscription/subscription-id/resourceGroups/built-in-identity OR Identità gestita assegnata dall'utente personalizzata |
Obbligatorio per assegnare l'identità predefinita alle macchine virtuali. |
| PolicyAssigmentMI | Collaboratore | /subscription/subscription-id> | Obbligatorio per creare il gruppo di risorse che contiene l'identità gestita predefinita nella sottoscrizione. |
| PolicyAssigmentMI | Managed Identity Contributor (Collaboratore per identità gestita) | /subscription/subscription-id/resourceGroups/built-in-identity | Obbligatorio per creare una nuova identità gestita assegnata dall'utente. |
| PolicyAssigmentMI | Amministratore accessi utente | /subscription/subscription-id/resourceGroups/built-in-identity OR Identità gestita assegnata dall'utente personalizzata |
Obbligatorio per impostare un blocco sull'identità gestita assegnata dall'utente creata dal criterio. |
Poiché l'oggetto assegnazione dei criteri deve disporre di questa autorizzazione in anticipo, PolicyAssignmentMI non può essere un'identità gestita assegnata dal sistema per questo scenario. L'utente che esegue l'attività di assegnazione dei criteri deve pre-autorizzare PolicyAssignmentMI in anticipo con le assegnazioni di ruolo precedenti.
Come si può notare, il ruolo con privilegi minimi risultanti necessario è "Collaboratore" a livello dell'ambito della sottoscrizione.
Problemi noti
Una possibile race condition con un'altra distribuzione che modifica le identità assegnate a una macchina virtuale può generare risultati imprevisti.
Se sono presenti due o più distribuzioni parallele che aggiornano la stessa macchina virtuale e modificano tutte la configurazione dell'identità della macchina virtuale, è possibile, in casi di race condition specifici, che tutte le identità previste NON vengano assegnate alle macchine virtuali. Ad esempio, se il criterio in questo documento aggiorna le identità gestite di una macchina virtuale e allo stesso tempo anche un altro processo apporta modifiche alla sezione relativa alle identità gestite, non è garantito che tutte le identità previste vengano assegnate correttamente alla macchina virtuale.