struktura zaświadczania Azure Policy
Zaświadczania są używane przez Azure Policy do ustawiania stanów zgodności zasobów lub zakresów przeznaczonych dla zasad ręcznych. Umożliwiają one również użytkownikom podanie dodatkowych metadanych lub linków do dowodów, które towarzyszą stanowi zgodności ze sprawdzonym stanem zgodności.
Uwaga
Zaświadczania można tworzyć i zarządzać tylko za pośrednictwem Azure Policy interfejsu API usługi Azure Resource Manager (ARM),programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Najlepsze rozwiązania
Zaświadczania mogą służyć do ustawiania stanu zgodności pojedynczego zasobu dla danej zasady ręcznej. Oznacza to, że każdy odpowiedni zasób wymaga jednego zaświadczania na ręczne przypisanie zasad. Aby ułatwić zarządzanie, zasady ręczne powinny być przeznaczone do określania zakresu definiującego granicę zasobów, których stan zgodności musi być sprawdzany.
Załóżmy na przykład, że organizacja dzieli zespoły według grupy zasobów, a każdy zespół musi potwierdzić opracowywanie procedur obsługi zasobów w ramach tej grupy zasobów. W tym scenariuszu warunki reguły zasad powinny określać, że typ jest Microsoft.Resources/resourceGroups
równy . W ten sposób wymagane jest jedno zaświadczenie dla grupy zasobów, a nie dla każdego pojedynczego zasobu. Podobnie, jeśli organizacja dzieli zespoły według subskrypcji, reguła zasad powinna być docelowa Microsoft.Resources/subscriptions
.
Zazwyczaj dostarczone dowody powinny odpowiadać odpowiednim zakresom struktury organizacyjnej. Ten wzorzec zapobiega konieczności duplikowania dowodów w wielu zaświadczaniach. Takie duplikacje utrudniają zarządzanie zasadami ręcznymi i wskazują, że definicja zasad jest przeznaczona dla nieprawidłowych zasobów.
Przykładowe zaświadczania
Poniżej znajduje się przykład tworzenia nowego zasobu zaświadczania, który ustawia stan zgodności dla grupy zasobów objętej ręcznym przypisaniem zasad:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Treść żądania
Poniżej znajduje się przykładowy obiekt JSON zasobu zaświadczania:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
Właściwość | Opis |
---|---|
policyAssignmentId |
Wymagany identyfikator przypisania, dla którego jest ustawiany stan. |
policyDefinitionReferenceId |
Opcjonalny identyfikator odwołania do definicji, jeśli w ramach inicjatywy zasad. |
complianceState |
Żądany stan zasobów. Dozwolone wartości to Compliant , NonCompliant i Unknown . |
expiresOn |
Opcjonalna data, w której stan zgodności powinien zostać przywrócony ze stanu zgodności ze sprawdzonym stanem zgodności do stanu domyślnego |
owner |
Opcjonalne Azure AD identyfikator obiektu odpowiedzialnej strony. |
comments |
Opcjonalny opis przyczyny ustawiania stanu. |
evidence |
Opcjonalna tablica łączy do dowodów zaświadczania. |
assessmentDate |
Data oceny dowodów. |
metadata |
Opcjonalne dodatkowe informacje o zaświadczeniu. |
Ponieważ zaświadczania są oddzielnym zasobem od przypisań zasad, mają własny cykl życia. Zaświadczania PUT, GET i DELETE można wykonywać przy użyciu interfejsu API usługi ARM. Poświadczenia są usuwane, jeśli powiązane ręczne przypisanie zasad lub policyDefinitionReferenceId zostaną usunięte lub jeśli zasób unikatowy dla zaświadczania zostanie usunięty. Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API REST zasad .
Następne kroki
- Przejrzyj wyjaśnienie działania zasad.
- Badanie struktury definicji inicjatywy
- Zapoznaj się z przykładami w Azure Policy przykładach.