Criteri predefiniti per Monitoraggio di Azure

I passaggi seguenti illustrano come applicare i criteri per inviare i log di controllo a per gli insiemi di credenziali delle chiavi a un'area di lavoro Log Analytics.

1. Nella pagina Criteri selezionare Definizioni.

2. Selezionare l'ambito. È possibile applicare un criterio all'intera sottoscrizione, a un gruppo di risorse o a una singola risorsa.

3. Nell'elenco a discesa Tipo di definizione, selezionare Criterio.

4. Selezionare Monitoraggio dall'elenco a discesa Categoria

5. Immettere keyvault nel campo Ricerca.

6. Selezionare il criterio Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Log Analytics,

7. Nella pagina di definizione dei criteri, selezionare Assegna.

8. Seleziona la scheda Parametri.

9. Selezionare l'area di lavoro Log Analytics a cui si vogliono inviare i log di controllo.

10. Selezionare la scheda Correzione.

11. Nella scheda Correzione, selezionare il criterio dell'insieme di credenziali delle chiavi dall'elenco a discesa Criteri per correggere.

12. Selezionare la casella di controllo Crea una identità gestita.

13. In Tipo di identità gestita, selezionare Identità gestita assegnata dal sistema.

14. Selezionare Rivedi e crea e quindi Crea.

Per applicare un criterio usando l'interfaccia della riga di comando, usare i comandi seguenti:

1. Creare un'assegnazione di criteri usando az policy assignment create.

     az policy assignment create --name <policy assignment name>  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope <scope> --params "{\"logAnalytics\": {\"value\": \"<log analytics workspace resource ID"}}" --mi-system-assigned --location <location>
   

   Ad esempio, per applicare i criteri per inviare i log di controllo a un'area di lavoro Log Analytics

     az policy assignment create --name "policy-assignment-1"  --policy "6b359d8f-f88d-4052-aa7c-32015963ecc1"  --scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg-001 --params "{\"logAnalytics\": {\"value\": \"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/rg-001/providers/microsoft.operationalinsights/workspaces/workspace-001\"}}" --mi-system-assigned --location eastus
   

2. Assegnare il ruolo richiesto all'identità creata per l'assegnazione dei criteri. Trovare il ruolo nella definizione dei criteri cercando roleDefinitionIds

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Assegnare il ruolo necessario usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope </scope> --name <policy assignment name>
   

   Ad esempio:

   az policy assignment identity assign --system-assigned --resource-group rg-001  --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope /subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourceGroups/rg001 --name policy-assignment-1
   

3. Attivare un'analisi per trovare le risorse esistenti usando az policy state trigger-scan.

   az policy state trigger-scan --resource-group rg-001
   

4. Creare un'attività di correzione per applicare i criteri alle risorse esistenti usando az policy remediation create.

   az policy remediation create -g <resource group name> --policy-assignment <policy assignment name> --name <remediation name> 
   

   ad esempio:

   az policy remediation create -g rg-001 -n remediation-001 --policy-assignment policy-assignment-1
   

Per altre informazioni sull'assegnazione di criteri tramite l'interfaccia della riga di comando di Azure, vedere Riferimento all'interfaccia della riga di comando di Azure - az policy assignment

Per applicare un criterio usando PowerShell, usare i comandi seguenti:

1. Configurare l'ambiente. Selezionare la sottoscrizione e impostare il gruppo di risorse

   Select-AzSubscription <subscriptionID>
   $rg = Get-AzResourceGroup -Name <resource groups name>    
   

2. Ottenere la definizione dei criteri e configurare i parametri per i criteri. Nell'esempio seguente viene assegnato il criterio per inviare i log di KeyVault a un'area di lavoro Log Analytics

   $definition = Get-AzPolicyDefinition |Where-Object Name -eq 6b359d8f-f88d-4052-aa7c-32015963ecc1
   $params =  @{"logAnalytics"="/subscriptions/<subscriptionID/resourcegroups/<resourcgroup>/providers/microsoft.operationalinsights/workspaces/<log anlaytics workspace name>"}  
   

3. Assegnare i criteri

   $policyAssignment=New-AzPolicyAssignment -Name <assignment name> -DisplayName "assignment display name" -Scope $rg.ResourceId -PolicyDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location <location>
   
   #To get your assignemnt use:
   $policyAssignment=Get-AzPolicyAssignment -Name '<assignment name>' -Scope '/subscriptions/<subscriptionID>/resourcegroups/<resource group name>'
   
   

4. Assegnare il ruolo o i ruoli necessari all'identità gestita assegnata dal sistema

       $principalID=$policyAssignment.Identity.PrincipalId
       $roleDefinitionIds=$definition.Properties.policyRule.then.details.roleDefinitionIds
       $roleDefinitionIds | ForEach-Object {
           $roleDefId = $_.Split("/") | Select-Object -Last 1
           New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionId $roleDefId
       }
   

5. Cercare la conformità, quindi creare un'attività di correzione per forzare la conformità per le risorse esistenti.

       Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName
       Start-AzPolicyRemediation -Name $policyAssignment.Name -PolicyAssignmentId $policyAssignment.PolicyAssignmentId  -ResourceGroupName $rg.ResourceGroupName
   

6. Controlla conformità

   Get-AzPolicyState -PolicyAssignmentName  $policyAssignment.Name -ResourceGroupName $policyAssignment.ResourceGroupName|select-object IsCompliant, ResourceID
   

1. Nella pagina Definizioni dei criteri, selezionare l'ambito.

2. Selezionare Iniziativa nell'elenco a discesa Tipo di definizione.

3. Selezionare Monitoraggio nell'elenco a discesa Categoria.

4. Immettere audit nel campo Ricerca.

5. Selezionare l’iniziativa Abilitare la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate per Log Analytics.

6. Nella pagina seguente, selezionare Assegna

7. Nella scheda Dati principali della pagina Assegna iniziativa, selezionare un Ambito a cui applicare l'iniziativa.

8. Immettere un nome nel campo Nome assegnazione.

9. Selezionare la scheda Parametri.

   Parametri contiene i parametri definiti nei criteri. In questo caso, è necessario selezionare l'area di lavoro Log Analytics a cui inviare i log. Per altre informazioni sui singoli parametri per ogni criterio, vedere Parametri specifici dei criteri.

10. Selezionare l'area di lavoro Log Analytics a cui inviare i log di controllo.

11. Selezionare Rivedi + crea, quindi Crea

Per verificare che l'assegnazione di criteri o iniziative funzioni, creare una risorsa nell'ambito della sottoscrizione o del gruppo di risorse definito nell'assegnazione dei criteri.

Dopo 10 minuti, selezionare la pagina Impostazioni di diagnostica per la risorsa. L'impostazione di diagnostica viene visualizzata nell'elenco con il nome predefinito setByPolicy-LogAnalytics e il nome dell'area di lavoro configurato nei criteri.

Modificare il nome predefinito nella scheda Parametri della pagina Assegna iniziativa o criteri deselezionando la casella di controllo Mostra solo i parametri che richiedono input o revisione.

1. Configurare le variabili di ambiente

   # Set up your environment variables.
   $subscriptionId = <your subscription ID>;
   $rg = Get-AzResourceGroup -Name <your resource group name>;
   Select-AzSubscription $subscriptionId;
   $logAnlayticsWorskspaceId=</subscriptions/$subscriptionId/resourcegroups/$rg.ResourceGroupName/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>;
   

2. Ottenere la definizione dell'iniziativa. In questo esempio si userà l’iniziativa Abilita la registrazione delle risorse del gruppo di categorie di controllo per le risorse supportate in "Log Analytics", ResourceID "/providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5"

   $definition = Get-AzPolicySetDefinition |Where-Object ResourceID -eq /providers/Microsoft.Authorization/policySetDefinitions/f5b29bc4-feca-4cc6-a58a-772dd5e290a5;
   

3. Impostare un nome di assegnazione e configurare i parametri. Per questa iniziativa, i parametri includono l'ID dell'area di lavoro Log Analytics.

   $assignmentName=<your assignment name>;
   $params =  @{"logAnalytics"="/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)/providers/microsoft.operationalinsights/workspaces/<your log analytics workspace>"}  
   

4. Assegnare l'iniziativa usando i parametri

   $policyAssignment=New-AzPolicyAssignment -Name $assignmentName  -Scope $rg.ResourceId -PolicySetDefinition $definition -PolicyparameterObject $params -IdentityType 'SystemAssigned' -Location eastus;
   

5. Assegnare il ruolo Contributor all'identità gestita assegnata dal sistema. Per altre iniziative, verificare quali ruoli sono necessari.

    New-AzRoleAssignment -Scope $rg.ResourceId -ObjectId $policyAssignment.Identity.PrincipalId -RoleDefinitionName Contributor;
   

6. Cercare la conformità dei criteri. Il comando Start-AzPolicyComplianceScan richiede alcuni minuti per la restituzione

   Start-AzPolicyComplianceScan -ResourceGroupName $rg.ResourceGroupName;
   

7. Ottenere un elenco di risorse da correggere e i parametri necessari chiamando Get-AzPolicyState

   $assignmentState=Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName;   
   $policyAssignmentId=$assignmentState.PolicyAssignmentId[0];
   $policyDefinitionReferenceIds=$assignmentState.PolicyDefinitionReferenceId;
   

8. Per ogni tipo di risorsa con risorse non conformi, avviare un'attività di correzione.

       $policyDefinitionReferenceIds | ForEach-Object {
             $referenceId = $_
             Start-AzPolicyRemediation -ResourceGroupName $rg.ResourceGroupName  -PolicyAssignmentId $policyAssignmentId   -PolicyDefinitionReferenceId $referenceId -Name "$($rg.ResourceGroupName) remediation $referenceId";
       }
   

9. Controllare lo stato di conformità al termine delle attività di correzione.

   Get-AzPolicyState -PolicyAssignmentName  $assignmentName -ResourceGroupName $rg.ResourceGroupName|select-object IsCompliant, ResourceID
   

È possibile ottenere i dettagli dell'assegnazione dei criteri usando il comando seguente:

  $policyAssignment=Get-AzPolicyAssignment -Name $assignmentName -Scope "/subscriptions/$subscriptionId/resourcegroups/$($rg.ResourceGroupName)";

1. Accedere all'account Azure usando il comando az login.

2. Selezionare la sottoscrizione in cui si vuole applicare l'iniziativa dei criteri usando il comando az account set.

3. Assegnare l'iniziativa usando az policy assignment create.

   az policy assignment create --name <assignment name> --resource-group <resource group name> --policy-set-definition <initiative name> --params <parameters object> --mi-system-assigned --location <location>
   

   Ad esempio:

   az policy assignment create --name "assign-cli-example-01" --resource-group "cli-example-01" --policy-set-definition 'f5b29bc4-feca-4cc6-a58a-772dd5e290a5' --params '{"logAnalytics":{"value":"/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01/providers/microsoft.operationalinsights/workspaces/cli-example-01-ws"}, "diagnosticSettingName":{"value":"AssignedBy-cli-example-01"}}' --mi-system-assigned --location eastus
   

4. Assegnare il ruolo richiesto all'identità gestita dal sistema

   Trovare i ruoli da assegnare in una qualsiasi delle definizioni di criteri nell'iniziativa cercando roleDefinitionIds, ad esempio:

      ...},
         "roleDefinitionIds": [
           "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293"
         ],
         "deployment": {
           "properties": {...
   

   Assegnare il ruolo necessario usando az policy assignment identity assign:

   az policy assignment identity assign --system-assigned --resource-group <resource group name> --role <role name or ID> --identity-scope <scope> --name <policy assignment name>
   

   Ad esempio:

   az policy assignment identity assign --system-assigned --resource-group "cli-example-01" --role 92aaf0da-9dab-42b6-94a3-d43ce8d16293 --identity-scope "/subscriptions/12345678-aaaa-bbbb-cccc-1234567890ab/resourcegroups/cli-example-01" --name assign-cli-example-01
   

5. Creare attività di correzione per i criteri nell'iniziativa.

   Le attività di correzione vengono create in base ai criteri. Ogni attività è per un definition-reference-id specifico, specificato nell'iniziativa come policyDefinitionReferenceId. Per trovare il parametro definition-reference-id, usare il comando seguente:

   az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId
   

   Correggere le risorse usando az policy remediation create

   az policy remediation create --resource-group <resource group name> --policy-assignment <assignment name> --name <remediation task name> --definition-reference-id  "policy specific reference ID"  --resource-discovery-mode ReEvaluateCompliance
   

   Ad esempio:

   az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name "rem-assign-cli-example-01" --definition-reference-id  "keyvault-vaults"  --resource-discovery-mode ReEvaluateCompliance
   

   Per creare un'attività di correzione per tutti i criteri nell'iniziativa, usare l'esempio seguente:

   for policyDefinitionReferenceId in $(az policy set-definition show --name f5b29bc4-feca-4cc6-a58a-772dd5e290a5 |grep policyDefinitionReferenceId |cut -d":" -f2|sed s/\"//g) 
   do 
       az policy remediation create --resource-group "cli-example-01" --policy-assignment assign-cli-example-01 --name remediate-$policyDefinitionReferenceId --definition-reference-id $policyDefinitionReferenceId; 
   done