Share via

Azure Policy attesteringsstruktur

  • Artikel

Attesteringar används av Azure Policy för att ange efterlevnadstillstånd för resurser eller omfång som mål för manuella principer. De gör det också möjligt för användare att tillhandahålla ytterligare metadata eller länka till bevis som åtföljer det intygade efterlevnadstillståndet.

Anteckning

Attesteringar kan endast skapas och hanteras via Azure Policy API för Azure Resource Manager (ARM),PowerShell eller Azure CLI.

Bästa praxis

Attesteringar kan användas för att ange efterlevnadstillståndet för en enskild resurs för en viss manuell princip. Det innebär att varje tillämplig resurs kräver en attestering per manuell principtilldelning. För att underlätta hanteringen bör manuella principer utformas för att rikta in sig på det omfång som definierar gränsen för resurser vars efterlevnadstillstånd måste intygas.

Anta till exempel att en organisation delar upp team efter resursgrupp, och varje team måste intyga utvecklingen av procedurer för att hantera resurser i den resursgruppen. I det här scenariot bör villkoren för principregeln ange att typen är Microsoft.Resources/resourceGroupslika med . På så sätt krävs en attestering för resursgruppen i stället för för varje enskild resurs i. På samma sätt, om organisationen delar grupper efter prenumerationer, bör principregeln rikta in sig på Microsoft.Resources/subscriptions.

Normalt bör de bevis som tillhandahålls motsvara relevanta omfång för organisationsstrukturen. Det här mönstret förhindrar behovet av att duplicera bevis över många attesteringar. Sådana dupliceringar skulle göra det svårt att hantera manuella principer och anger att principdefinitionen riktar sig mot fel resurser.

Exempel på attestering

Nedan visas ett exempel på hur du skapar en ny attesteringsresurs som anger efterlevnadstillståndet för en resursgrupp som mål för en manuell principtilldelning:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

Begärandetext

Nedan visas ett JSON-objekt för attesteringsresursen:

"properties": {
    "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
    "policyDefinitionReferenceId": "{definitionReferenceID}",
    "complianceState": "Compliant",
    "expiresOn": "2023-07-14T00:00:00Z",
    "owner": "{AADObjectID}",
    "comments": "This subscription has passed a security audit. See attached details for evidence",
    "evidence": [
        {
          "description": "The results of the security audit.",
          "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
        },
        {
          "description": "Description of the attached evidence document.",
          "sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
        },
    ],
    "assessmentDate": "2022-11-14T00:00:00Z",
    "metadata": {
         "departmentId": "{departmentID}"
     }
}
Egenskap Beskrivning
policyAssignmentId Obligatoriskt tilldelnings-ID som tillståndet anges för.
policyDefinitionReferenceId Valfritt definitionsreferens-ID, om det ingår i ett principinitiativ.
complianceState Önskat tillstånd för resurserna. Tillåtna värden är Compliant, NonCompliantoch Unknown.
expiresOn Valfritt datum då kompatibilitetstillståndet ska återgå från det intygade efterlevnadstillståndet till standardtillståndet
owner Valfritt Azure AD objekt-ID för ansvarig part.
comments Valfri beskrivning av varför tillstånd anges.
evidence Valfri matris med länkar till attesteringsbevis.
assessmentDate Datum då bevisningen bedömdes.
metadata Valfri ytterligare information om attesteringen.

Eftersom attesteringar är en separat resurs från principtilldelningar har de en egen livscykel. Du kan ANVÄNDA PUT-, GET- och DELETE-intyg med arm-API:et. Attesteringar tas bort om den relaterade manuella principtilldelningen eller policyDefinitionReferenceId tas bort, eller om en resurs som är unik för attesteringen tas bort. Mer information finns i REST API-referens för princip .

Nästa steg