Konfigurowanie ustawień zabezpieczeń przy użyciu usługi Azure Blueprint

Ukończone

Usługę Azure Blueprints można porównać do planu, który pozwala inżynierowi lub architektowi naszkicować parametry projektu. Usługa ta umożliwia architektom chmury i centralnym grupom technologii informatycznych zdefiniowanie powtarzalnego zestawu zasobów platformy Azure, który implementuje standardy, wzorce i wymagania organizacji oraz jest z nimi zgodny. Usługa Azure Blueprints umożliwia zespołom deweloperów szybkie tworzenie i uruchamianie nowych środowisk z zaufaniem, że są one tworzone w ramach zgodności organizacji z zestawem wbudowanych składników, takich jak sieć, w celu przyspieszenia opracowywania i dostarczania.

Usługa Blueprints umożliwia deklaratywne organizowanie i wdrażanie różnych szablonów zasobów i innych artefaktów, takich jak:

  • Przypisania ról
  • Przypisania zasad
  • Szablony usługi Azure Resource Manager
  • Grupy zasobów

Usługa Azure Blueprints jest wspierana przez globalnie dystrybuowaną usługę Azure Cosmos DB. Obiekty strategii są replikowane w wielu regionach świadczenia usługi Azure. Ta replikacja zapewnia małe opóźnienia, wysoką dostępność i spójny dostęp do obiektów strategii, niezależnie od regionu, w którym usługa Azure Blueprints wdraża zasoby.

Czym różni się od szablonów usługi Azure Resource Manager

Usługa została zaprojektowana w celu ułatwienia konfiguracji środowiska. Ta konfiguracja często składa się z zestawu grup zasobów, zasad, przypisań ról i wdrożeń szablonów usługi Azure Resource Manager. Strategia to pakiet umożliwiający łączenie każdego z tych typów artefaktów i umożliwienie tworzenia i wersji tego pakietu, w tym za pośrednictwem potoku ciągłej integracji i ciągłego dostarczania (CI/CD). Każdy pakiet jest ostatecznie przypisywany do subskrypcji w ramach jednej operacji, którą można poddawać inspekcji i śledzić.

Prawie wszystko, co chcesz uwzględnić do wdrożenia w usłudze Azure Blueprints, można wykonać za pomocą szablonu usługi Azure Resource Manager. Jednak szablon usługi Azure Resource Manager to dokument, który nie istnieje natywnie na platformie Azure — każdy z nich jest przechowywany lokalnie lub w kontroli źródła lub w szablonach (wersja zapoznawcza). Szablon jest używany na potrzeby wdrożenia jednego lub większej liczby zasobów platformy Azure, ale po wdrożeniu tych zasobów nie ma aktywnego połączenia z wykorzystanym szablonem ani relacji z nim.

Dzięki użyciu usługi Azure Blueprints zachowywana jest relacja między definicją strategii (to, co powinno zostać wdrożone) i przypisaniem strategii (to, co zostało wdrożone). To połączenie obsługuje ulepszone śledzenie i inspekcję wdrożeń. Usługa Azure Blueprints może również uaktualnić kilka subskrypcji jednocześnie, które podlegają tej samej strategii.

Nie ma potrzeby wybierania między szablonem usługi Azure Resource Manager i strategią. Każda strategia może składać się z co najmniej zera artefaktów szablonu usługi Azure Resource Manager. Ta pomoc techniczna oznacza, że wcześniejsze wysiłki związane z opracowywaniem i konserwowanie biblioteki szablonów usługi Azure Resource Manager są wielokrotnego użytku w usłudze Azure Blueprints.

Czym różni się od usługi Azure Policy

Strategia to pakiet lub kontener umożliwiający tworzenie specyficznych dla kontekstu zestawów standardów, wzorców i wymagań dotyczących implementacji usług Azure Cloud Services, zabezpieczeń i projektów, które mogą zostać ponownie użyte w celu zachowania spójności i zgodności.

Zasady to system z domyślnym zezwalaniem i wyraźnym zabranianiem, który jest skoncentrowany na właściwościach wdrażanych i istniejących już zasobów. Obsługuje on zarządzanie chmurą przez weryfikowanie, czy zasoby w ramach subskrypcji są zgodne z wymaganiami i standardami.

Uwzględnienie zasad w strategii umożliwia utworzenie odpowiedniego wzorca lub projektu podczas przypisywania strategii. Włączenie zasad zapewnia, że w środowisku można wprowadzać tylko zatwierdzone lub oczekiwane zmiany w celu ochrony ciągłej zgodności z intencją strategii.

Zasady mogą być dołączane jako jedne z wielu artefaktów w definicji strategii. Strategie obsługują również używanie parametrów z zasadami i inicjatywami.

Definicja strategii

Strategia składa się z artefaktów. Usługa Azure Blueprints obecnie obsługuje następujące zasoby jako artefakty:

Zasób Opcje hierarchii Opis
Grupy zasobów Subskrypcja Umożliwia utworzenie nowej grupy zasobów do użytku przez inne artefakty w ramach strategii. Te zastępcze grupy zasobów umożliwiają organizowanie zasobów w dokładnie taki sposób, w jaki mają one strukturę i zapewniają ograniczenie zakresu dla uwzględnionych artefaktów zasad i przypisań ról oraz szablonów usługi ARM.
Szablon usługi Azure Resource Manager Subskrypcja, grupa zasobów Szablony, w tym szablony zagnieżdżone i połączone, służą do tworzenia złożonych środowisk. Przykładowe środowiska: farma programu SharePoint, konfiguracja stanu usługi Azure Automation lub obszar roboczy usługi Log Analytics.
Przypisanie zasad Subskrypcja, grupa zasobów Umożliwia przypisanie zasad lub inicjatywy do subskrypcji, do której przypisano strategię. Zasady lub inicjatywa muszą znajdować się w zakresie lokalizacji definicji strategii. Jeśli zasady lub inicjatywa mają parametry, są one przypisywane podczas tworzenia strategii bądź podczas jej przypisywania.
Przypisanie roli Subskrypcja, grupa zasobów Dodawanie istniejącego użytkownika lub grupy do wbudowanej roli w celu zagwarantowania, że odpowiednie osoby zawsze będą mieć odpowiedni dostęp do zasobów. Przypisania ról mogą być definiowane dla całej subskrypcji lub mogą być zagnieżdżone w konkretnej grupie zasobów uwzględnionej w strategii.

Lokalizacje definicji strategii

Podczas tworzenia definicji strategii należy zdefiniować miejsce, w którym strategia zostanie zapisana. Strategie można zapisywać tylko w grupie zarządzania lub subskrypcji, do której użytkownik ma dostęp jako Współautor. Jeśli lokalizacja znajduje się w grupie zarządzania, strategię można przypisać do dowolnej subskrypcji podrzędnej tej grupy zarządzania.

Parametry strategii

Usługa Blueprints może przekazywać parametry do zasad/inicjatywy lub szablonu usługi Azure Resource Manager. Podczas dodawania dowolnego artefaktu do strategii autor decyduje o udostępnieniu zdefiniowanej wartości dla każdego przypisania strategii lub zezwoleniu, aby każde przypisanie strategii udostępniało wartość w czasie przypisywania. Dzięki tej elastyczności można zdefiniować wstępnie ustaloną wartość dla wszystkich zastosowań strategii lub umożliwić podjęcie decyzji w czasie przypisywania.

Publikowanie strategii

Kiedy strategia jest tworzona po raz pierwszy, przyjmuje się, że jest w trybie wersji roboczej. Kiedy jest gotowa do przypisania, należy ją opublikować. Publikowanie wymaga zdefiniowania ciągu wersji (liter, cyfr i łączników o maksymalnej długości 20 znaków) wraz z opcjonalnymi uwagami dotyczącymi zmian. Dzięki zastosowaniu wersji przyszłe zmiany wprowadzone w strategii mogą być traktowane jako osobne wersje z możliwością ich przypisania. Obsługa wersji oznacza również, że różne wersje tej samej strategii można przypisać do jednej subskrypcji. Po wprowadzeniu dodatkowych zmian w strategii nadal istnieje opublikowana wersja, podobnie jak zmiany nieopublikowane. Po zakończeniu wprowadzania zmian zaktualizowana strategia jest publikowana jako nowa unikatowa wersja, którą teraz również można przypisać.

Przypisywanie strategii

Do istniejącej grupy zarządzania lub subskrypcji można przypisać każdą opublikowaną wersję strategii (z maksymalną długością nazwy 90 znaków). W portalu domyślną wersją strategii jest ta, która została opublikowana jako ostatnia. Jeśli istnieją parametry artefaktu lub parametry strategii, parametry są definiowane podczas procesu przypisywania.

Uwaga

Przypisanie definicji strategii do grupy zarządzania oznacza, że obiekt przypisania istnieje w grupie zarządzania. Wdrażanie artefaktów nadal jest przeznaczone dla subskrypcji. Aby wykonać przypisanie grupy zarządzania, należy użyć interfejsu API REST tworzenia lub aktualizowania, a treść żądania musi zawierać wartość właściwości.scope, aby zdefiniować subskrypcję docelową.

Uprawnienia w usłudze Azure Blueprints

Aby korzystać z strategii, musisz mieć przyznane uprawnienia za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Aby odczytać lub wyświetlić strategię w witrynie Azure Portal, twoje konto musi mieć dostęp do odczytu do zakresu, w którym znajduje się definicja strategii.

Aby użytkownik mógł tworzyć strategie, jego konto musi mieć następujące uprawnienia:

  • Microsoft.Blueprint/blueprints/write — tworzenie definicji strategii
  • Microsoft.Blueprint/blueprints/artifacts/write — tworzenie artefaktów w definicji strategii
  • Microsoft.Blueprint/blueprints/versions/write - Publish a blueprint

Aby użytkownik mógł usuwać strategie, jego konto musi mieć następujące uprawnienia:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Uwaga

Uprawnienia definicji strategii muszą być przyznawane lub dziedziczone w grupie zarządzania lub zakresie subskrypcji, w którym jest zapisywany.

Uwaga

W miarę tworzenia przypisań strategii w ramach subskrypcji przypisanie strategii i anulowanie przypisania musi zostać przyznane w zakresie subskrypcji lub być dziedziczone w zakresie subskrypcji.

Aby użytkownik mógł przypisywać strategie lub anulować ich przypisanie, jego konto musi mieć następujące uprawnienia:

  • Microsoft.Blueprint/blueprintAssignments/write — przypisywanie strategii
  • Microsoft.Blueprint/blueprintAssignments/delete — anulowanie przypisania strategii

Dostępne są następujące wbudowane role:

Rola platformy Azure Opis
Właściciel Oprócz innych uprawnień obejmuje wszystkie uprawnienia związane z usługą Azure Blueprints.
Współautor Oprócz innych uprawnień można tworzyć i usuwać definicje strategii, ale nie ma uprawnień do przypisywania strategii.
Współautor strategii Może zarządzać definicjami strategii, ale nie przypisywać ich.
Operator strategii Można przypisać istniejące opublikowane strategie, ale nie może tworzyć nowych definicji strategii. Przypisanie strategii działa tylko wtedy, gdy przypisanie odbywa się przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.

Jeśli te wbudowane role nie spełniają wymagań dotyczących zabezpieczeń, należy rozważyć utworzenie roli niestandardowej.

Uwaga

W przypadku korzystania z tożsamości zarządzanej przypisanej przez system jednostka usługi dla usługi Azure Blueprints wymaga roli Właściciel w przypisanej subskrypcji w celu włączenia wdrożenia. W przypadku korzystania z portalu ta rola jest automatycznie przyznawana i odwoływana dla wdrożenia. W przypadku korzystania z interfejsu API REST ta rola musi zostać ręcznie przyznana, ale jest automatycznie odwoływana po zakończeniu wdrożenia. W przypadku korzystania z tożsamości zarządzanej przypisanej przez użytkownika tylko użytkownik tworzący przypisanie strategii wymagaMicrosoft.Blueprint/blueprintAssignments/write uprawnienie, które jest uwzględniane zarówno we wbudowanych rolach właściciela, jak i operatora strategii.