Corrigir recursos que não estão em conformidade com o Azure Policy

Ao criar uma atribuição usando o portal, o Azure Policy pode gerar uma identidade gerenciada atribuída pelo sistema e conceder a ela as funções definidas no roleDefinitionIds da definição de política. Como alternativa, você pode especificar uma identidade gerenciada atribuída pelo usuário que recebe a mesma atribuição de função.

Para definir uma identidade gerenciada atribuída pelo sistema no portal:

1. Na guia Correção da exibição de atribuição criar/editar, em Tipos de Identidade gerenciada, verifique se a Identidade gerenciada atribuída pelo sistema está selecionada.

2. Especifique o local no qual a identidade gerenciada deve ser localizada.

3. Não atribua um escopo à identidade gerenciada atribuída pelo sistema porque ele será herdado do escopo de atribuição.

Para definir uma identidade gerenciada atribuída pelo usuário no portal:

1. Na guia Correção da exibição de atribuição criar/editar, em Tipos de Identidade gerenciada, verifique se a Identidade gerenciada atribuída pelo usuário está selecionada.

2. Especifique o escopo em que a identidade gerenciada está hospedada. O escopo da identidade gerenciada não precisa ser igual ao escopo da atribuição, mas deve estar no mesmo locatário.

3. Em Identidades atribuídas pelo usuário existentes, selecione a identidade gerenciada.

Para criar uma identidade durante a atribuição da política, o Local deve ser definido e a Identidade deve ser usada.

O exemplo a seguir obtém a definição da política interna Implantar Transparent Data Encryption no BD SQL, define o grupo de recursos de destino e, em seguida, cria a atribuição usando a identidade gerenciada atribuída pelo sistema.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "SystemAssigned"

O exemplo a seguir obtém a definição da política interna Implantar Transparent Data Encryption do Banco de Dados SQL, define o grupo de recursos de destino e, em seguida, cria a atribuição usando a identidade gerenciada atribuída pelo usuário.

# Login first with Connect-AzAccount if not using Cloud Shell

# Get the built-in "Deploy SQL DB transparent data encryption" policy definition
$policyDef = Get-AzPolicyDefinition -Id '/providers/Microsoft.Authorization/policyDefinitions/86a912f6-9a06-4e26-b447-11b16ba8659f'

# Get the reference to the resource group
$resourceGroup = Get-AzResourceGroup -Name 'MyResourceGroup'

# Get the existing user assigned managed identity ID
$userassignedidentity = Get-AzUserAssignedIdentity -ResourceGroupName $rgname -Name $userassignedidentityname
$userassignedidentityid = $userassignedidentity.Id

# Create the assignment using the -Location and -Identity properties
$assignment = New-AzPolicyAssignment -Name 'sqlDbTDE' -DisplayName 'Deploy SQL DB transparent data encryption' -Scope $resourceGroup.ResourceId -PolicyDefinition $policyDef -Location 'westus' -IdentityType "UserAssigned" -IdentityId $userassignedidentityid

A variável $assignment agora contém a ID da entidade de segurança referente à identidade gerenciada, juntamente com os valores padrão retornados durante a criação de uma atribuição de política. Ela pode ser acessada por $assignment.Identity.PrincipalId para identidades gerenciadas atribuídas pelo sistema e $assignment.Identity.UserAssignedIdentities[$userassignedidentityid].PrincipalId para identidades gerenciadas atribuídas pelo usuário.

Para criar uma identidade durante a atribuição da política, use os comandos az policy assignment create com os parâmetros --location, --mi-system-assigned, --mi-user-assigned e --identity-scope, de acordo com a atribuição da identidade gerenciada pelo sistema ou pelo usuário.

Para adicionar uma identidade atribuída pelo sistema ou uma identidade atribuída pelo usuário a uma atribuição de política, os comandos az policy assignment identity assign de exemplo.

Há duas maneiras de conceder uma identidade gerenciada da atribuição às funções definidas pelo portal: usando Controle de acesso (IAM) ou editando a atribuição de política ou iniciativa e clicando em Salvar.

Para adicionar uma função à identidade gerenciada da atribuição, siga estas etapas:

1. Inicie o serviço do Azure Policy no portal do Azure selecionando Todos os serviços e, em seguida, pesquisando e selecionando Política.

2. Selecione Atribuições no lado esquerdo da página de Política do Azure.

3. Localize a atribuição que tem uma identidade gerenciada e clique no nome.

4. Localize a propriedade ID de Atribuição na página de edição. A ID da tarefa é semelhante a este exemplo:

   /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Authorization/policyAssignments/2802056bfc094dfb95d4d7a5
   

   O nome da identidade gerenciada é a última parte da ID do recurso de atribuição, que é 2802056bfc094dfb95d4d7a5 neste exemplo. Copie essa parte da ID do recurso da atribuição.

5. Navegue até o recurso ou os recursos do contêiner pai (grupo de recursos, assinatura, grupo de gerenciamento) que precisa na definição de função adicionada manualmente.

6. Clique no link Controle de acesso (IAM) na página de recursos e clique em + Adicionar atribuição de função na parte superior da página do controle de acesso.

7. Selecione a função apropriada que corresponde a um roleDefinitionIds na definição de política. Mantenha a opção Atribuir acesso a definida como o padrão “usuário, grupo ou aplicativo”. Na caixa Selecionar, cole ou digite a parte da ID do recurso de atribuição localizada anteriormente. Depois que a pesquisa for concluída, clique no objeto com o mesmo nome para selecionar a ID e clique em Salvar.

A nova identidade gerenciada deve concluir a replicação por meio do Microsoft Entra ID para receber as funções necessárias. Após a replicação, os exemplos a seguir fazem a iteração da definição de política em $policyDef para roleDefinitionIds e usam New-AzRoleAssignment para conceder as funções à nova identidade gerenciada.

Especificamente, o primeiro exemplo mostra como conceder funções no escopo da política. O segundo exemplo demonstra como conceder funções no escopo da iniciativa (conjunto de políticas).

###################################################
# Grant roles to managed identity at policy scope #
###################################################

# Use the $policyDef to get to the roleDefinitionIds array
$roleDefinitionIds = $policyDef.Properties.policyRule.then.details.roleDefinitionIds

if ($roleDefinitionIds.Count -gt 0)
{
    $roleDefinitionIds | ForEach-Object {
        $roleDefId = $_.Split("/") | Select-Object -Last 1
        New-AzRoleAssignment -Scope $resourceGroup.ResourceId -ObjectId $assignment.Identity.PrincipalId
        -RoleDefinitionId $roleDefId
    }
}

#######################################################
# Grant roles to managed identity at initiative scope #
#######################################################

#If the policy had no managed identity in its logic, then no impact. If there is a managed identity
used for enforcement, replicate it on the new assignment.
$getNewInitiativeAssignment = Get-AzPolicyAssignment -Name $newInitiativeDefinition.Name

#Create an array to store role definition's IDs used by policies inside the initiative.
$InitiativeRoleDefinitionIds = @();

#Loop through the policy definitions inside the initiative and gather their role definition IDs
foreach ($policyDefinitionIdInsideInitiative in $InitiativeDefinition.Properties.PolicyDefinitions.policyDefinitionId) {
  $policyDef = Get-AzPolicyDefinition -Id $policyDefinitionIdInsideInitiative
  $roleDefinitionIds = $policyDef.Properties.PolicyRule.then.details.roleDefinitionIds
  $InitiativeRoleDefinitionIds += $roleDefinitionIds
}

#Create the role assignments used by the initiative assignment at the subscription scope.
if ($InitiativeRoleDefinitionIds.Count -gt 0) {
  $InitiativeRoleDefinitionIds | Sort-Object -Unique | ForEach-Object {
    $roleDefId = $_.Split("/") | Select-Object -Last 1
    New-AzRoleAssignment -Scope "/subscriptions/$($subscription)" -ObjectId $getNewInitiativeAssignment.Identity.PrincipalId
    -RoleDefinitionId $roleDefId
  }
}

A nova identidade gerenciada deve concluir a replicação por meio do Microsoft Entra ID para receber as funções necessárias. Após a replicação, as funções especificadas no roleDefinitionIds da definição de política deverão ser concedidas à identidade gerenciada.

Acesse as funções especificadas na definição de política usando o comando az policy definition show e faça a iteração em cada roleDefinitionIds para criar a atribuição de função usando o comando az role assignment create.

Inicie o serviço do Azure Policy no portal do Azure selecionando Todos os serviços e, em seguida, pesquisando e selecionando Política.

Etapa 1: iniciar a criação da tarefa de correção

Há três maneiras de criar uma tarefa de correção por meio do portal.

Opção 1: criar uma tarefa de correção na página Correção

1. Selecione Correção no lado esquerdo da página do Azure Policy.

   

2. Todas as atribuições de política deployIfNotExists e modify são mostradas na guia Políticas a serem corrigidas. Selecione uma delas com recursos não compatíveis para abrir a página Nova tarefa de correção.

3. Siga as etapas para especificar os detalhes da tarefa de correção.

Opção 2: criar uma tarefa de correção com base em uma atribuição de política sem conformidade

1. Selecione Conformidade no lado esquerdo da página do Azure Policy.

2. Selecione uma atribuição de iniciativa ou política não compatível com os efeitos deployIfNotExists ou modify.

3. Selecione o botão Criar Tarefa de Correção na parte superior da página para abrir a página Nova tarefa de correção.

4. Siga as etapas para especificar os detalhes da tarefa de correção.

Opção 3: criar uma tarefa de correção durante a atribuição de política

Se a definição de política ou iniciativa a ser atribuída tiver um efeito deployIfNotExists ou modify, a guia Correção do assistente oferecerá uma opção Criar uma tarefa de correção, que criará uma tarefa de correção com a atribuição de política.

1. No assistente de atribuição no portal, navegue até a guia Correção. Marque a caixa de seleção para Criar uma tarefa de correção.

2. Se a tarefa de correção for iniciada com base em uma atribuição de iniciativa, selecione a política para corrigir na lista suspensa.

3. Configure a identidade gerenciada e preencha o restante do assistente. A tarefa de correção é criada quando a atribuição é criada.

Etapa 2: especificar os detalhes da tarefa de correção

Essa etapa só é aplicável ao usar a Opção 1 ou a Opção 2 para iniciar a criação de tarefas de correção.

1. Se a tarefa de correção for iniciada com base em uma atribuição de iniciativa, selecione a política para corrigir na lista suspensa. Uma política deployIfNotExists ou modify pode ser corrigida por meio de uma única tarefa de correção por vez.

2. Opcionalmente, modifique as configurações de correção na página. Para obter informações sobre o que cada configuração controla, confiraestrutura de tarefas de correção.

3. Na mesma página, filtre os recursos a serem corrigidos usando as reticências de Escopo para escolher os recursos filho nos quais a política está atribuída (incluindo até os objetos do recurso individuais). Além disso, use a lista suspensa Locais para filtrar ainda mais os recursos.

   

4. Inicie a tarefa de correção após a filtragem dos recursos selecionando Corrigir. A página de conformidade de política abre na guia Tarefas de correção para mostrar o estado do progresso das tarefas. As implantações criadas pela tarefa de correção são iniciadas imediatamente.

   

Etapa 3: acompanhar o andamento da tarefa de correção

1. Navegue até a guia Tarefas de correção na página Correção. Selecione uma tarefa de correção para exibir detalhes sobre a filtragem usada, o status atual e uma lista de recursos que estão sendo corrigidos.

2. Na página de detalhes da Tarefa de correção, clique com o botão direito do mouse em um recurso para exibir o recurso ou a implantação da tarefa de correção. No final da linha, clique em Eventos relacionados para ver os detalhes, como uma mensagem de erro.

   

Os recursos implantados por meio de uma tarefa de correção são adicionados à guia Recursos Implantados na página de detalhes da atribuição de política.

Para criar uma tarefa de correção com o Azure PowerShell, use os comandos Start-AzPolicyRemediation. Substitua {subscriptionId} pela ID de assinatura e {myAssignmentId} pela ID de atribuição de política deployIfNotExists ou modify.

# Login first with Connect-AzAccount if not using Cloud Shell

# Create a remediation for a specific assignment
Start-AzPolicyRemediation -Name 'myRemedation' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Também é possível optar por ajustar as configurações de correção por meio destes parâmetros opcionais:

• -FailureThreshold - usado para especificar se a tarefa de correção deve falhar se o percentual de falhas exceder o limite especificado. Fornecido como um número entre 0 e 100. Por padrão, o limite de falha é de 100%.
• -ResourceCount - determina quantos recursos não compatíveis serão corrigidos em uma determinada tarefa de correção. O valor padrão é 500 (o limite anterior). O número máximo é de 50 mil recursos.
• -ParallelDeploymentCount - determina quantos recursos serão remediados ao mesmo tempo. Os valores permitidos são de 1 a 30 recursos por vez. O valor padrão é 10.

Para conhecer mais cmdlets e exemplos de correção, veja o módulo AZ.PolicyInsights.

Para criar uma tarefa de correção com a CLI do Azure, use os comandos az policy remediation. Substitua {subscriptionId} pela ID de assinatura e {myAssignmentId} pela ID de atribuição de política deployIfNotExists ou modify.

# Login first with az login if not using Cloud Shell

# Create a remediation for a specific assignment
az policy remediation create --name myRemediation --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{myAssignmentId}'

Para conhecer mais comandos e exemplos de correção, veja os comandos az policy remediation.