struktura zaświadczania Azure Policy

  • Artykuł

Zaświadczania są używane przez Azure Policy do ustawiania stanów zgodności zasobów lub zakresów przeznaczonych dla zasad ręcznych. Umożliwiają one również użytkownikom podanie dodatkowych metadanych lub linków do dowodów, które towarzyszą stanowi zgodności ze sprawdzonym stanem zgodności.

Uwaga

Zaświadczania można tworzyć i zarządzać tylko za pośrednictwem Azure Policy interfejsu API usługi Azure Resource Manager (ARM),programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Najlepsze rozwiązania

Zaświadczania mogą służyć do ustawiania stanu zgodności pojedynczego zasobu dla danej zasady ręcznej. Oznacza to, że każdy odpowiedni zasób wymaga jednego zaświadczania na ręczne przypisanie zasad. Aby ułatwić zarządzanie, zasady ręczne powinny być przeznaczone do określania zakresu definiującego granicę zasobów, których stan zgodności musi być sprawdzany.

Załóżmy na przykład, że organizacja dzieli zespoły według grupy zasobów, a każdy zespół musi potwierdzić opracowywanie procedur obsługi zasobów w ramach tej grupy zasobów. W tym scenariuszu warunki reguły zasad powinny określać, że typ jest Microsoft.Resources/resourceGroupsrówny . W ten sposób wymagane jest jedno zaświadczenie dla grupy zasobów, a nie dla każdego pojedynczego zasobu. Podobnie, jeśli organizacja dzieli zespoły według subskrypcji, reguła zasad powinna być docelowa Microsoft.Resources/subscriptions.

Zazwyczaj dostarczone dowody powinny odpowiadać odpowiednim zakresom struktury organizacyjnej. Ten wzorzec zapobiega konieczności duplikowania dowodów w wielu zaświadczaniach. Takie duplikacje utrudniają zarządzanie zasadami ręcznymi i wskazują, że definicja zasad jest przeznaczona dla nieprawidłowych zasobów.

Przykładowe zaświadczania

Poniżej znajduje się przykład tworzenia nowego zasobu zaświadczania, który ustawia stan zgodności dla grupy zasobów objętej ręcznym przypisaniem zasad:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

Treść żądania

Poniżej znajduje się przykładowy obiekt JSON zasobu zaświadczania:

"properties": {
    "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
    "policyDefinitionReferenceId": "{definitionReferenceID}",
    "complianceState": "Compliant",
    "expiresOn": "2023-07-14T00:00:00Z",
    "owner": "{AADObjectID}",
    "comments": "This subscription has passed a security audit. See attached details for evidence",
    "evidence": [
        {
          "description": "The results of the security audit.",
          "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
        },
        {
          "description": "Description of the attached evidence document.",
          "sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
        },
    ],
    "assessmentDate": "2022-11-14T00:00:00Z",
    "metadata": {
         "departmentId": "{departmentID}"
     }
}
Właściwość Opis
policyAssignmentId Wymagany identyfikator przypisania, dla którego jest ustawiany stan.
policyDefinitionReferenceId Opcjonalny identyfikator odwołania do definicji, jeśli w ramach inicjatywy zasad.
complianceState Żądany stan zasobów. Dozwolone wartości to Compliant, NonComplianti Unknown.
expiresOn Opcjonalna data, w której stan zgodności powinien zostać przywrócony ze stanu zgodności ze sprawdzonym stanem zgodności do stanu domyślnego
owner Opcjonalne Azure AD identyfikator obiektu odpowiedzialnej strony.
comments Opcjonalny opis przyczyny ustawiania stanu.
evidence Opcjonalna tablica łączy do dowodów zaświadczania.
assessmentDate Data oceny dowodów.
metadata Opcjonalne dodatkowe informacje o zaświadczeniu.

Ponieważ zaświadczania są oddzielnym zasobem od przypisań zasad, mają własny cykl życia. Zaświadczania PUT, GET i DELETE można wykonywać przy użyciu interfejsu API usługi ARM. Poświadczenia są usuwane, jeśli powiązane ręczne przypisanie zasad lub policyDefinitionReferenceId zostaną usunięte lub jeśli zasób unikatowy dla zaświadczania zostanie usunięty. Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API REST zasad .

Następne kroki