Struktur pengesahan Azure Policy
Pengesahan digunakan oleh Azure Policy untuk menetapkan status kepatuhan sumber daya atau cakupan yang ditargetkan oleh kebijakan manual. Mereka juga memungkinkan pengguna untuk memberikan lebih banyak metadata atau tautan ke bukti yang menyertai status kepatuhan yang dibuktikan.
Catatan
Pengesahan hanya dapat dibuat dan dikelola melalui Azure Policy Azure Resource Manager (ARM), PowerShell, atau Azure CLI.
Praktik terbaik
Pengesahan dapat digunakan untuk mengatur status kepatuhan sumber daya individu untuk kebijakan manual tertentu. Setiap sumber daya yang berlaku memerlukan satu pengesahan per penetapan kebijakan manual. Untuk kemudahan manajemen, kebijakan manual harus dirancang untuk menargetkan cakupan yang menentukan batas sumber daya yang status kepatuhannya perlu dibuktikan.
Misalnya, organisasi membagi tim berdasarkan grup sumber daya, dan setiap tim diharuskan untuk membuktikan pengembangan prosedur untuk menangani sumber daya dalam grup sumber daya tersebut. Dalam skenario ini, kondisi aturan kebijakan harus menentukan jenis tersebut sama dengan Microsoft.Resources/resourceGroups. Dengan cara ini, satu pengesahan diperlukan untuk grup sumber daya, bukan untuk setiap sumber daya individu di dalamnya. Demikian pula, jika organisasi membagi tim berdasarkan langganan, aturan kebijakan harus menargetkan Microsoft.Resources/subscriptions.
Biasanya, bukti yang diberikan harus sesuai dengan cakupan struktur organisasi yang relevan. Pola ini mencegah kebutuhan untuk menduplikasi bukti di banyak pengesahan. Duplikasi tersebut akan membuat kebijakan manual sulit dikelola, dan menunjukkan bahwa definisi kebijakan menargetkan sumber daya yang salah.
Contoh pengesahan
Contoh berikut membuat sumber daya pengesahan baru yang menetapkan status kepatuhan untuk grup sumber daya yang ditargetkan oleh penetapan kebijakan manual:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Isi permintaan
Kode berikut adalah contoh objek JSON sumber daya pengesahan:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Properti | Deskripsi |
|---|---|
policyAssignmentId |
ID penugasan yang diperlukan yang statusnya sedang ditetapkan. |
policyDefinitionReferenceId |
ID referensi definisi opsional, jika dalam inisiatif kebijakan. |
complianceState |
Status sumber daya yang diinginkan. Nilai yang diizinkan adalah Compliant, NonCompliant, dan Unknown. |
expiresOn |
Tanggal opsional saat status kepatuhan harus dikembalikan dari status kepatuhan yang dibuktikan ke status default. |
owner |
ID objek ID Microsoft Entra opsional dari pihak yang bertanggung jawab. |
comments |
Deskripsi opsional tentang mengapa status sedang diatur. |
evidence |
Array opsional tautan ke bukti pengesahan. |
assessmentDate |
Tanggal di mana bukti dinilai. |
metadata |
Informasi tambahan opsional tentang pengesahan. |
Karena pengesahan adalah sumber daya terpisah dari penugasan kebijakan, pengesahan tersebut memiliki siklus hidupnya sendiri. Anda dapat mengesahkan PUT, GET, dan DELETE menggunakan AZURE Resource Manager API. Pengesahan dihapus jika penetapan kebijakan manual terkait atau policyDefinitionReferenceId dihapus, atau jika sumber daya yang unik untuk pengesahan dihapus. Untuk informasi selengkapnya, buka Referensi REST API Kebijakan untuk detail selengkapnya.
Langkah berikutnya
- Dasar-dasar efek definisi Azure Policy.
- Struktur definisi inisiatif Azure Policy.
- Sampel Azure Policy.