Efecto manual de definiciones de Azure Policy
El nuevo efecto manual permite certificar automáticamente el cumplimiento normativo de los recursos o ámbitos. A diferencia de otras definiciones de directiva que examinan activamente la evaluación, el efecto Manual permite cambios manuales en el estado de cumplimiento normativo. Para cambiar el cumplimiento normativo de un recurso o ámbito de destino de una directiva manual, debe crear una atestación. El procedimiento recomendado es diseñar directivas manuales destinadas al ámbito que define el límite de los recursos cuyo cumplimiento normativo necesita atestación.
Nota:
La compatibilidad con la directiva manual está disponible a través de varias iniciativas de cumplimiento normativo de Microsoft Defender for Cloud. Si es un cliente de Microsoft Defender for Cloud para el nivel Premium, consulte su introducción a la experiencia.
A continuación se muestran ejemplos de iniciativas de directivas normativas que incluyen definiciones de directiva con el efecto manual :
- FedRAMP High
- FedRAMP Medium
- HIPAA
- HITRUST
- ISO 27001
- Microsoft CIS 1.3.0
- Microsoft CIS 1.4.0
- NIST SP 800-171 Rev. 2
- NIST SP 800-53 Rev. 4
- NIST SP 800-53 Rev. 5
- PCI DSS 3.2.1
- PCI DSS 4.0
- SWIFT CSP CSCF v2022
El ejemplo siguiente tiene como destino las suscripciones de Azure y establece el estado de cumplimiento normativo inicial en Unknown.
{
"if": {
"field": "type",
"equals": "Microsoft.Resources/subscriptions"
},
"then": {
"effect": "manual",
"details": {
"defaultState": "Unknown"
}
}
}
La defaultState propiedad tiene tres valores posibles:
Unknown: el estado inicial predeterminado de los recursos de destino.Compliant: el recurso es compatible según los estándares de directivas manuales.Non-compliant: el recurso no es compatible según los estándares de directivas manuales.
El motor de cumplimiento normativo de Azure Policy evalúa todos los recursos aplicables al estado predeterminado especificado en la definición (Unknown si no se especifica). Un Unknown estado de cumplimiento normativo indica que debe certificar manualmente el estado de cumplimiento normativo de los recursos. Si el estado del efecto no está especificado, el valor predeterminado es Unknown. El Unknown estado de cumplimiento normativo indica que usted mismo debe certificar el estado de cumplimiento normativo.
En la captura de pantalla siguiente se muestra cómo aparece una asignación de directiva manual con el Unknown estado en Azure Portal:
Cuando se asigna una definición de directiva con manual efecto, puede establecer los estados de cumplimiento normativo de los recursos o ámbitos de destino a través de atestaciones personalizadas. Las atestaciones también permiten proporcionar información complementaria opcional en forma de metadatos y vínculos a evidencias que acompañan al estado de cumplimiento normativo elegido. La persona que asigna la directiva manual puede recomendar una ubicación de almacenamiento predeterminada para la evidencia especificando la evidenceStorages propiedad de los metadatos de la asignación de directiva.
Pasos siguientes
- Puede consultar ejemplos en Ejemplos de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Obtenga información acerca de cómo se pueden crear directivas mediante programación.
- Obtenga información sobre cómo obtener datos de cumplimiento.
- Obtenga información sobre cómo corregir recursos no compatibles.
- Revise Grupos de administración de Azure.