структура аттестации Политика Azure

  • Статья

Аттестации используются Политика Azure для установки состояний соответствия ресурсов или областей, на которые нацелены политики вручную. Они также позволяют пользователям предоставлять дополнительные метаданные или ссылку на свидетельство, которое сопровождает подтвержденное состояние соответствия.

Примечание

Аттестации можно создавать и управлять ими только с помощью Политика Azure API azure Resource Manager (ARM),PowerShell или Azure CLI.

Рекомендации

Аттестации можно использовать для установки состояния соответствия отдельного ресурса для данной политики вручную. Это означает, что для каждого применимого ресурса требуется одна аттестация для каждого назначения политики вручную. Для простоты управления следует разрабатывать политики вручную, предназначенные для область который определяет границу ресурсов, состояние соответствия которым необходимо подтвердить.

Например, предположим, что организация разделяет команды по группам ресурсов, и каждая команда должна засвидетельствовать разработку процедур обработки ресурсов в этой группе ресурсов. В этом сценарии условия правила политики должны указывать, что тип равен Microsoft.Resources/resourceGroups. Таким образом, требуется одна аттестация для группы ресурсов, а не для каждого отдельного ресурса в. Аналогичным образом, если организация делит команды по подпискам, правило политики должно быть нацелено на Microsoft.Resources/subscriptions.

Как правило, предоставленные доказательства должны соответствовать соответствующим областям организационной структуры. Этот шаблон предотвращает необходимость дублировать свидетельства во многих аттестациях. Такое дублирование усложняет управление политиками вручную и указывает на то, что определение политики нацелено на неправильные ресурсы.

Пример аттестации

Ниже приведен пример создания нового ресурса аттестации, который задает состояние соответствия для группы ресурсов, для которой назначена политика вручную:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

Текст запроса

Ниже приведен пример объекта JSON ресурса аттестации:

"properties": {
    "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
    "policyDefinitionReferenceId": "{definitionReferenceID}",
    "complianceState": "Compliant",
    "expiresOn": "2023-07-14T00:00:00Z",
    "owner": "{AADObjectID}",
    "comments": "This subscription has passed a security audit. See attached details for evidence",
    "evidence": [
        {
          "description": "The results of the security audit.",
          "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
        },
        {
          "description": "Description of the attached evidence document.",
          "sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
        },
    ],
    "assessmentDate": "2022-11-14T00:00:00Z",
    "metadata": {
         "departmentId": "{departmentID}"
     }
}
Свойство Описание
policyAssignmentId Обязательный идентификатор назначения, для которого задается состояние.
policyDefinitionReferenceId Необязательный идентификатор ссылки на определение, если он находится в рамках инициативы политики.
complianceState Требуемое состояние ресурсов. Допустимые значения: Compliant, NonCompliant и Unknown.
expiresOn Необязательная дата, в которую состояние соответствия должно отменить изменения из состояния аттестации соответствия в состояние по умолчанию.
owner Необязательный Azure AD идентификатор объекта ответственной стороны.
comments Необязательное описание причины установки состояния.
evidence Необязательный массив ссылок на свидетельство аттестации.
assessmentDate Дата оценки доказательств.
metadata Необязательные дополнительные сведения об аттестации.

Так как аттестации являются отдельным ресурсом от назначений политик, они имеют собственный жизненный цикл. Аттестации PUT, GET и DELETE можно использовать с помощью API ARM. Аттестации удаляются при удалении связанного ручного назначения политики или policyDefinitionReferenceId или удаления ресурса, уникального для аттестации. Дополнительные сведения см. в справочнике по REST API политики .

Дальнейшие действия