Azure Policy attestation-structuur
Attestations worden door Azure Policy gebruikt om nalevingsstatussen in te stellen van resources of bereiken waarop handmatig beleid is gericht. Ze stellen gebruikers ook in staat om aanvullende metagegevens op te geven of een koppeling te maken naar bewijsmateriaal dat bij de geteste nalevingsstatus wordt begeleid.
Notitie
Attestations kunnen alleen worden gemaakt en beheerd via Azure Policy ARM-API (Azure Resource Manager),PowerShell of Azure CLI.
Aanbevolen procedures
Attestations kunnen worden gebruikt om de nalevingsstatus van een afzonderlijke resource in te stellen voor een bepaald handmatig beleid. Dit betekent dat voor elke toepasselijke resource één attestation per handmatige beleidstoewijzing is vereist. Voor een gemakkelijker beheer moet handmatig beleid worden ontworpen om het bereik te bereiken dat de grens definieert van resources waarvan de nalevingsstatus moet worden getest.
Stel dat een organisatie teams opsplitst per resourcegroep en dat elk team de ontwikkeling van procedures voor het verwerken van resources binnen die resourcegroep moet bevestigen. In dit scenario moeten de voorwaarden van de beleidsregel opgeven dat type gelijk is Microsoft.Resources/resourceGroupsaan . Op deze manier is één attestation vereist voor de resourcegroep, in plaats van voor elke afzonderlijke resource binnen. Als de organisatie teams opsplitst op basis van abonnementen, moet de beleidsregel ook zijn gericht op Microsoft.Resources/subscriptions.
Normaal gesproken moet het verstrekte bewijs overeenkomen met relevante bereiken van de organisatiestructuur. Dit patroon voorkomt dat bewijsmateriaal moet worden gedupliceerd voor veel attestations. Dergelijke duplicaties maken handmatige beleidsregels moeilijk te beheren en geven aan dat de beleidsdefinitie op de verkeerde resource(s) is gericht.
Voorbeeld van attestation
Hieronder ziet u een voorbeeld van het maken van een nieuwe attestation-resource waarmee de nalevingsstatus wordt ingesteld voor een resourcegroep waarop een handmatige beleidstoewijzing is gericht:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Aanvraagbody
Hieronder ziet u een voorbeeld van een attestation-resource-JSON-object:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Eigenschap | Beschrijving |
|---|---|
policyAssignmentId |
Vereiste toewijzings-id waarvoor de status wordt ingesteld. |
policyDefinitionReferenceId |
Optionele definitiereferentie-id, indien binnen een beleidsinitiatief. |
complianceState |
Gewenste status van de resources. Toegestane waarden zijn Compliant, NonComplianten Unknown. |
expiresOn |
Optionele datum waarop de nalevingsstatus moet worden hersteld van de geteste nalevingsstatus naar de standaardstatus |
owner |
Optioneel Azure AD object-id van de verantwoordelijke partij. |
comments |
Optionele beschrijving van waarom de status wordt ingesteld. |
evidence |
Optionele matrix met koppelingen naar attestation-bewijs. |
assessmentDate |
Datum waarop het bewijs is beoordeeld. |
metadata |
Optionele aanvullende informatie over de attestation. |
Omdat attestations een afzonderlijke resource zijn van beleidstoewijzingen, hebben ze hun eigen levenscyclus. U kunt PUT-, GET- en DELETE-attestations gebruiken met behulp van de ARM-API. Attestations worden verwijderd als de gerelateerde handmatige beleidstoewijzing of policyDefinitionReferenceId wordt verwijderd, of als een resource die uniek is voor de attestation, wordt verwijderd. Zie naslaginformatie over de REST API voor beleid voor meer informatie.
Volgende stappen
- Lees Informatie over de effecten van het beleid.
- De structuur van de initiatiefdefinitie bestuderen
- Bekijk voorbeelden op Azure Policy voorbeelden.