Struktur pengesahan Azure Policy
Pengesahan digunakan oleh Azure Policy untuk menetapkan status kepatuhan sumber daya atau cakupan yang ditargetkan oleh kebijakan manual. Mereka juga memungkinkan pengguna untuk memberikan metadata atau tautan tambahan ke bukti yang menyertai status kepatuhan yang dibuktikan.
Catatan
Pengesahan hanya dapat dibuat dan dikelola melalui Azure Policy Azure Resource Manager (ARM) API, PowerShell , atau Azure CLI.
Praktik terbaik
Pengesahan dapat digunakan untuk mengatur status kepatuhan sumber daya individual untuk kebijakan manual tertentu. Ini berarti bahwa setiap sumber daya yang berlaku memerlukan satu pengesahan per penetapan kebijakan manual. Untuk kemudahan manajemen, kebijakan manual harus dirancang untuk menargetkan cakupan yang menentukan batas sumber daya yang status kepatuhannya perlu dibuktikan.
Misalnya, organisasi membagi tim berdasarkan grup sumber daya, dan setiap tim diperlukan untuk membuktikan pengembangan prosedur untuk menangani sumber daya dalam grup sumber daya tersebut. Dalam skenario ini, kondisi aturan kebijakan harus menentukan jenis tersebut sama dengan Microsoft.Resources/resourceGroups. Dengan cara ini, satu pengesahan diperlukan untuk grup sumber daya, bukan untuk setiap sumber daya individu di dalamnya. Demikian pula, jika organisasi membagi tim berdasarkan langganan, aturan kebijakan harus menargetkan Microsoft.Resources/subscriptions.
Biasanya, bukti yang diberikan harus sesuai dengan cakupan struktur organisasi yang relevan. Pola ini mencegah kebutuhan untuk menduplikasi bukti di banyak pengesahan. Duplikasi tersebut akan membuat kebijakan manual sulit dikelola, dan menunjukkan bahwa definisi kebijakan menargetkan sumber daya yang salah.
Contoh pengesahan
Di bawah ini adalah contoh pembuatan sumber daya pengesahan baru yang menetapkan status kepatuhan untuk grup sumber daya yang ditargetkan oleh penetapan kebijakan manual:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Isi permintaan
Di bawah ini adalah contoh objek JSON sumber daya pengesahan:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Properti | Deskripsi |
|---|---|
policyAssignmentId |
ID penugasan yang diperlukan yang statusnya sedang ditetapkan. |
policyDefinitionReferenceId |
ID referensi definisi opsional, jika dalam inisiatif kebijakan. |
complianceState |
Status sumber daya yang diinginkan. Nilai yang diizinkan adalah Compliant, NonCompliant, dan Unknown. |
expiresOn |
Tanggal opsional di mana status kepatuhan harus kembali dari status kepatuhan yang dibuktikan ke status default |
owner |
ID objek Azure AD opsional dari pihak yang bertanggung jawab. |
comments |
Deskripsi opsional tentang mengapa status sedang diatur. |
evidence |
Array tautan opsional ke bukti pengesahan. |
assessmentDate |
Tanggal di mana bukti dinilai. |
metadata |
Informasi tambahan opsional tentang pengesahan. |
Karena pengesahan adalah sumber daya terpisah dari penetapan kebijakan, pengesahan tersebut memiliki siklus hidupnya sendiri. Anda dapat mengesahkan PUT, GET, dan DELETE menggunakan ARM API. Pengesahan dihapus jika penetapan kebijakan manual terkait atau policyDefinitionReferenceId dihapus, atau jika sumber daya yang unik untuk pengesahan dihapus. Lihat Referensi REST API Kebijakan untuk detail selengkapnya.
Langkah berikutnya
- Tinjau Memahami efek kebijakan.
- Mempelajari struktur definisi inisiatif
- Tinjau contoh pada sampel Azure Policy.