Azure Policy Attestation-structuur
Attestations worden door Azure Policy gebruikt om nalevingsstatussen van resources of bereiken in te stellen waarop handmatig beleid is gericht. Ze stellen gebruikers ook in staat om meer metagegevens te verstrekken of een koppeling te maken naar bewijs dat bij de geteste nalevingsstatus hoort.
Notitie
Attestations kunnen alleen worden gemaakt en beheerd via de ARM-API (Azure Policy Azure Resource Manager), PowerShell of Azure CLI.
Aanbevolen procedures
Attestations kunnen worden gebruikt om de nalevingsstatus van een afzonderlijke resource in te stellen voor een bepaald handmatig beleid. Voor elke toepasselijke resource is één attestation per handmatige beleidstoewijzing vereist. Voor het gemak van beheer moet handmatig beleid worden ontworpen om het bereik te bepalen dat de grens definieert van resources waarvan de nalevingsstatus moet worden getest.
Stel dat een organisatie teams deelt door resourcegroep en dat elk team moet bevestigen dat er procedures worden ontwikkeld voor het afhandelen van resources binnen die resourcegroep. In dit scenario moeten de voorwaarden van de beleidsregel opgeven dat type gelijk is Microsoft.Resources/resourceGroups
aan . Op deze manier is één attestation vereist voor de resourcegroep, in plaats van voor elke afzonderlijke resource binnen. Als de organisatie teams deelt op basis van abonnementen, moet de beleidsregel ook worden gericht Microsoft.Resources/subscriptions
.
Normaal gesproken moet het verstrekte bewijs overeenkomen met relevante bereiken van de organisatiestructuur. Dit patroon voorkomt dat er bewijs moet worden gedupliceerd voor veel attestations. Dergelijke duplicaties maken handmatig beleid moeilijk te beheren en geven aan dat de beleidsdefinitie gericht is op de verkeerde resources.
Voorbeeld van attestation
In het volgende voorbeeld wordt een nieuwe attestation-resource gemaakt waarmee de nalevingsstatus wordt ingesteld voor een resourcegroep waarop een handmatige beleidstoewijzing is gericht:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Aanvraagtekst
De volgende code is een JSON-voorbeeld-attestation-resourceobject:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
Eigenschappen | Beschrijving |
---|---|
policyAssignmentId |
Vereiste toewijzings-id waarvoor de status wordt ingesteld. |
policyDefinitionReferenceId |
Optionele referentie-id voor definities, indien binnen een beleidsinitiatief. |
complianceState |
Gewenste status van de resources. Toegestane waarden zijn Compliant , NonCompliant en Unknown . |
expiresOn |
Optionele datum waarop de nalevingsstatus moet worden teruggezet van de geteste nalevingsstatus naar de standaardstatus. |
owner |
Optioneel Microsoft Entra ID-object-id van verantwoordelijke partij. |
comments |
Optionele beschrijving van waarom de status wordt ingesteld. |
evidence |
Optionele matrix van koppelingen naar attestation-bewijs. |
assessmentDate |
De datum waarop het bewijs is beoordeeld. |
metadata |
Optionele aanvullende informatie over de attestation. |
Omdat attestations een afzonderlijke resource zijn van beleidstoewijzingen, hebben ze hun eigen levenscyclus. U kunt attestations PUT, GET en DELETE gebruiken met behulp van de Azure Resource Manager-API. Attestations worden verwijderd als de gerelateerde handmatige beleidstoewijzing of policyDefinitionReferenceId
worden verwijderd, of als een resource die uniek is voor de attestation wordt verwijderd. Ga voor meer informatie naar naslaginformatie over de REST API van Policy voor meer informatie.
Volgende stappen
- Basisbeginselen van Azure Policy-definities.
- Definitiestructuur van Het Azure Policy-initiatief.
- Voorbeelden van Azure Policy.