Azure Policy attesteringsstruktur
Attesteringar används av Azure Policy för att ange efterlevnadstillstånd för resurser eller omfång som mål för manuella principer. De gör det också möjligt för användare att tillhandahålla ytterligare metadata eller länka till bevis som åtföljer det intygade efterlevnadstillståndet.
Anteckning
Attesteringar kan endast skapas och hanteras via Azure Policy API för Azure Resource Manager (ARM),PowerShell eller Azure CLI.
Bästa praxis
Attesteringar kan användas för att ange efterlevnadstillståndet för en enskild resurs för en viss manuell princip. Det innebär att varje tillämplig resurs kräver en attestering per manuell principtilldelning. För att underlätta hanteringen bör manuella principer utformas för att rikta in sig på det omfång som definierar gränsen för resurser vars efterlevnadstillstånd måste intygas.
Anta till exempel att en organisation delar upp team efter resursgrupp, och varje team måste intyga utvecklingen av procedurer för att hantera resurser i den resursgruppen. I det här scenariot bör villkoren för principregeln ange att typen är Microsoft.Resources/resourceGroups
lika med . På så sätt krävs en attestering för resursgruppen i stället för för varje enskild resurs i. På samma sätt, om organisationen delar grupper efter prenumerationer, bör principregeln rikta in sig på Microsoft.Resources/subscriptions
.
Normalt bör de bevis som tillhandahålls motsvara relevanta omfång för organisationsstrukturen. Det här mönstret förhindrar behovet av att duplicera bevis över många attesteringar. Sådana dupliceringar skulle göra det svårt att hantera manuella principer och anger att principdefinitionen riktar sig mot fel resurser.
Exempel på attestering
Nedan visas ett exempel på hur du skapar en ny attesteringsresurs som anger efterlevnadstillståndet för en resursgrupp som mål för en manuell principtilldelning:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Begärandetext
Nedan visas ett JSON-objekt för attesteringsresursen:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
Egenskap | Beskrivning |
---|---|
policyAssignmentId |
Obligatoriskt tilldelnings-ID som tillståndet anges för. |
policyDefinitionReferenceId |
Valfritt definitionsreferens-ID, om det ingår i ett principinitiativ. |
complianceState |
Önskat tillstånd för resurserna. Tillåtna värden är Compliant , NonCompliant och Unknown . |
expiresOn |
Valfritt datum då kompatibilitetstillståndet ska återgå från det intygade efterlevnadstillståndet till standardtillståndet |
owner |
Valfritt Azure AD objekt-ID för ansvarig part. |
comments |
Valfri beskrivning av varför tillstånd anges. |
evidence |
Valfri matris med länkar till attesteringsbevis. |
assessmentDate |
Datum då bevisningen bedömdes. |
metadata |
Valfri ytterligare information om attesteringen. |
Eftersom attesteringar är en separat resurs från principtilldelningar har de en egen livscykel. Du kan ANVÄNDA PUT-, GET- och DELETE-intyg med arm-API:et. Attesteringar tas bort om den relaterade manuella principtilldelningen eller policyDefinitionReferenceId tas bort, eller om en resurs som är unik för attesteringen tas bort. Mer information finns i REST API-referens för princip .
Nästa steg
- Granska Förstå policy-effekter.
- Studera initiativdefinitionsstrukturen
- Granska exempel på Azure Policy exempel.