Azure Policy 증명 구조
증명은 Azure Policy에서 수동 정책의 대상이 되는 리소스 또는 범위의 규정 준수 상태를 설정하는 데 사용합니다. 또한 사용자가 추가 메타데이터를 제공하거나 증명된 규정 준수 상태와 수반되는 증거에 대한 링크를 제공할 수 있습니다.
참고 항목
증명은 Azure Policy ARM(Azure Resource Manager) API, PowerShell 또는 Azure CLI를 통해서만 만들고 관리할 수 있습니다.
모범 사례
증명을 사용하여 지정된 수동 정책에 대한 개별 리소스의 규정 준수 상태를 설정할 수 있습니다. 즉, 해당하는 각 리소스에는 수동 정책 할당별로 하나의 증명이 필요합니다. 관리 편의성을 위해 수동 정책이 규정 준수 상태를 증명해야 하는 리소스의 경계를 정의하는 범위를 대상으로 지정되도록 디자인해야 합니다.
예를 들어 조직에서 팀을 리소스 그룹으로 나누고 각 팀이 해당 리소스 그룹 내에서 리소스를 처리하기 위한 절차의 개발을 증명해야 한다고 가정해 보겠습니다. 이 시나리오에서 정책 규칙의 조건은 형식을 Microsoft.Resources/resourceGroups로 지정해야 합니다. 이와 같이 각 개별 리소스가 아닌 리소스 그룹에 대해 하나의 증명이 필요합니다. 마찬가지로 조직에서 팀을 구독별로 나누면 정책 규칙은 Microsoft.Resources/subscriptions를 대상으로 해야 합니다.
일반적으로 제공된 증거는 조직 구조의 관련 범위와 일치해야 합니다. 이 패턴에 따르면 여러 증명에서 증거를 복제할 필요가 없습니다. 이러한 중복은 수동 정책을 관리하기 어렵게 만들고 정책 정의가 잘못된 리소스를 대상으로 하게 만듭니다.
예제 증명
다음은 수동 정책 할당의 대상이 되는 리소스 그룹의 규정 준수 상태를 설정하는 새 증명 리소스를 만드는 예제입니다.
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
요청 본문
다음은 샘플 증명 리소스 JSON 개체입니다.
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| 속성 | 설명 |
|---|---|
policyAssignmentId |
상태가 설정되는 필수 할당 ID |
policyDefinitionReferenceId |
정책 이니셔티브 내에 있는 경우 선택적 정의 참조 ID |
complianceState |
리소스의 원하는 상태 허용되는 값은 Compliant, NonCompliant 및 Unknown입니다. |
expiresOn |
규정 준수 상태를 증명된 규정 준수 상태에서 기본 상태로 되돌려야 하는 선택적 날짜 |
owner |
책임 당사자의 선택적 Azure AD 개체 ID |
comments |
상태가 설정되는 이유에 대한 선택적 설명 |
evidence |
증명 증거에 대한 링크의 선택적 배열 |
assessmentDate |
증거가 평가된 날짜 |
metadata |
증명에 대한 선택적 추가 정보 |
증명은 정책 할당과는 별개의 리소스이므로 자체 수명 주기가 있습니다. ARM API를 사용하여 증명을 PUT, GET 및 DELETE할 수 있습니다. 관련 수동 정책 할당 또는 policyDefinitionReferenceId가 삭제되거나 증명에 고유한 리소스가 삭제되면 증명이 제거됩니다. 자세한 내용은 정책 REST API 참조를 참조하세요.
다음 단계
- 정책 효과 이해를 검토합니다.
- 이니셔티브 정의 구조를 확인하세요.
- Azure Policy 샘플에서 예제를 검토합니다.