struttura di attestazione Azure Policy
Le attestazioni vengono usate da Azure Policy per impostare gli stati di conformità delle risorse o degli ambiti di destinazione dei criteri manuali. Consentono inoltre agli utenti di fornire metadati aggiuntivi o collegamenti a prove che accompagnano lo stato di conformità attestato.
Nota
Le attestazioni possono essere create e gestite solo tramite Azure Policy'API di Azure Resource Manager (ARM),PowerShell o l'interfaccia della riga di comando di Azure.
Procedure consigliate
Le attestazioni possono essere usate per impostare lo stato di conformità di una singola risorsa per un determinato criterio manuale. Ciò significa che ogni risorsa applicabile richiede un'attestazione per assegnazione manuale dei criteri. Per semplificare la gestione, i criteri manuali devono essere progettati per definire l'ambito che definisce il limite di risorse il cui stato di conformità deve essere attestato.
Si supponga, ad esempio, che un'organizzazione divide i team per gruppo di risorse e che ogni team sia necessario per attestare lo sviluppo di procedure per la gestione delle risorse all'interno di tale gruppo di risorse. In questo scenario, le condizioni della regola dei criteri devono specificare che il tipo è uguale a Microsoft.Resources/resourceGroups
. In questo modo, è necessaria un'attestazione per il gruppo di risorse, anziché per ogni singola risorsa all'interno. Analogamente, se l'organizzazione divide i team per sottoscrizioni, la regola dei criteri deve avere come destinazione Microsoft.Resources/subscriptions
.
In genere, l'evidenza fornita deve corrispondere agli ambiti pertinenti della struttura organizzativa. Questo modello impedisce la necessità di duplicare l'evidenza in molte attestazioni. Tali duplicazioni renderebbero difficile gestire i criteri manuali e indicare che la definizione dei criteri è destinata alle risorse errate.
Attestazione di esempio
Di seguito è riportato un esempio di creazione di una nuova risorsa di attestazione che imposta lo stato di conformità per un gruppo di risorse di destinazione da un'assegnazione manuale dei criteri:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Testo della richiesta
Di seguito è riportato un oggetto JSON della risorsa di attestazione di esempio:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
Proprietà | Descrizione |
---|---|
policyAssignmentId |
ID assegnazione obbligatorio per il quale viene impostato lo stato. |
policyDefinitionReferenceId |
ID riferimento di definizione facoltativo, se all'interno di un'iniziativa di criteri. |
complianceState |
Stato desiderato delle risorse. I valori consentiti sono Compliant , NonCompliant e Unknown . |
expiresOn |
Data facoltativa in cui lo stato di conformità deve ripristinare lo stato di conformità con attestazione allo stato predefinito |
owner |
ID oggetto facoltativo di Azure AD dell'entità responsabile. |
comments |
Descrizione facoltativa del motivo per cui viene impostato lo stato. |
evidence |
Matrice facoltativa di collegamenti all'evidenza di attestazione. |
assessmentDate |
Data in cui sono state valutate le prove. |
metadata |
Informazioni aggiuntive facoltative sull'attestazione. |
Poiché le attestazioni sono una risorsa separata dalle assegnazioni di criteri, hanno il proprio ciclo di vita. È possibile usare le attestazioni PUT, GET e DELETE usando l'API ARM. Le attestazioni vengono rimosse se l'assegnazione manuale dei criteri correlata o policyDefinitionReferenceId vengono eliminate o se viene eliminata una risorsa univoca per l'attestazione. Per altri dettagli, vedere Le informazioni di riferimento sull'API REST dei criteri .
Passaggi successivi
- Leggere Informazioni sugli effetti di Criteri.
- Studiare la struttura di definizione dell'iniziativa
- Vedere gli esempi in Esempi di Criteri di Azure.