Nachweisstruktur von Azure Policy
Nachweise werden von Azure Policy verwendet, um Konformitätszustände von Ressourcen oder Bereichen festzulegen, die von manuellen Richtlinien bestimmt werden. Sie ermöglichen es Benutzern auch, zusätzliche Metadaten oder Links zu Nachweisen bereitzustellen, die den bestätigten Konformitätszustand begleiten.
Hinweis
Nachweise können nur über die Azure Policy-API Azure Resource Manager (ARM), PowerShell oder die Azure CLI erstellt und verwaltet werden.
Bewährte Methoden
Nachweise können verwendet werden, um den Konformitätszustand einer einzelnen Ressource für eine bestimmte manuelle Richtlinie festzulegen. Dies bedeutet, dass jede anwendbare Ressource einen Nachweis pro manueller Richtlinienzuweisung erfordert. Um die Verwaltung zu erleichtern, müssen manuelle Richtlinien so konzipiert sein, dass sie auf den Bereich ausgerichtet sind, der die Grenze der Ressourcen definiert, deren Konformitätszustand bestätigt werden muss.
Angenommen, eine Organisation teilt Teams nach Ressourcengruppe, und jedes Team muss die Entwicklung von Verfahren zur Behandlung von Ressourcen innerhalb dieser Ressourcengruppe nachweisen. In diesem Szenario muss in den Bedingungen der Richtlinienregeln angegeben sein, dass dieser Typ Microsoft.Resources/resourceGroups entspricht. Auf diese Weise ist eine Bescheinigung für die Ressourcengruppe und nicht für jede einzelne Ressource darin erforderlich. Wenn die Organisation Teams nach Abonnements unterteilt, muss die Richtlinienregel auf Microsoft.Resources/subscriptions ausgerichtet sein.
In der Regel entsprechen die bereitgestellten Nachweise den relevanten Bereichen der Organisationsstruktur. Dieses Muster verhindert, dass Beweise über viele Nachweise hinweg dupliziert werden müssen. Durch solche Duplikate wären manuelle Richtlinien schwierig zu verwalten und ein Anzeichen dafür, dass die Richtliniendefinition auf die falschen Ressourcen ausgerichtet ist.
Beispielnachweis
Nachfolgend finden Sie ein Beispiel für das Erstellen einer neuen Nachweisressource, die den Konformitätszustand für eine Ressourcengruppe festlegt, auf die eine manuelle Richtlinienzuweisung ausgerichtet ist:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Anforderungstext
Nachfolgend finden Sie ein Beispiel eines JSON-Objekts für die Nachweisressource:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Eigenschaft | BESCHREIBUNG |
|---|---|
policyAssignmentId |
Erforderliche Zuordnungs-ID, für die der Zustand festgelegt wird. |
policyDefinitionReferenceId |
Optionale Definitionsreferenz-ID, falls innerhalb einer Richtlinieninitiative. |
complianceState |
Gewünschter Status der Ressourcen. Zulässige Werte sind Compliant, NonCompliant und Unknown. |
expiresOn |
Optionales Datum, an dem der Konformitätszustand vom bestätigten Konformitätszustand auf den Standardzustand zurückgesetzt werden soll |
owner |
Optionale Azure AD-Objekt-ID der verantwortlichen Partei. |
comments |
Optionale Beschreibung, warum der Zustand festgelegt wird. |
evidence |
Optionales Array von Links zu Nachweisen und Beweisen. |
assessmentDate |
Datum, an dem die Beweise bewertet wurden. |
metadata |
Optionale zusätzliche Informationen zu den Nachweisen. |
Da Nachweise eine separate Ressource von Richtlinienzuweisungen sind, verfügen sie über einen eigenen Lebenszyklus. Mithilfe der ARM-API können Sie PUT-, GET- und DELETE-Befehle für Nachweise ausführen. Nachweise werden entfernt, wenn die zugehörige manuelle Richtlinienzuweisung oder policyDefinitionReferenceId gelöscht wird oder eine Ressource, die für den Nachweis eindeutig ist, gelöscht wird. Weitere Informationen finden Sie in der REST-API-Referenz der Richtlinie.
Nächste Schritte
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Sehen Sie sich die Struktur der Initiativendefinition an.
- Sehen Sie sich die Beispiele unter Azure Policy-Beispiele an.