你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过新 manual 效果,你可以自行证明资源或范围的符合性。 与其他主动扫描评估的策略定义不同,手动效果允许手动更改符合性状态。 若要更改手动策略所针对的资源或范围的符合性,需要创建 证明。
最佳做法是设计面向定义其符合性需要证明的资源边界的作用域的手动策略。
注释
可通过各种 Microsoft Defender for Cloud 法规合规性计划来支持手动策略。 如果你是 Microsoft Defender for Cloud Premium 层 客户,请参阅其体验概述。
下面是包含具有效果的策略定义的 manual 法规策略计划的示例:
- FedRAMP High
- FedRAMP 中型
- HIPAA
- HITRUST (健康信息信托联盟)
- ISO 27001
- Microsoft CIS 1.3.0
- Microsoft CIS 1.4.0
- NIST SP 800-171 修订版 2
- NIST SP 800-53 修订版 4
- NIST SP 800-53 修订版 5
- PCI DSS 3.2.1
- PCI DSS 4.0
- SWIFT CSP CSCF v2022
以下示例以 Azure 订阅为目标,并将初始符合性状态设置为 Unknown。
{
"if": {
"field": "type",
"equals": "Microsoft.Resources/subscriptions"
},
"then": {
"effect": "manual",
"details": {
"defaultState": "Unknown"
}
}
}
该 defaultState 属性有三个可能的值:
-
Unknown:目标资源的初始默认状态。 -
Compliant:资源符合手动策略标准 -
Non-compliant:根据手动策略标准,资源不符合
Azure Policy 符合性引擎将所有适用的资源评估为定义中指定的默认状态(Unknown 如果未指定)。
Unknown符合性状态表示必须手动证明资源符合性状态。 如果未指定效果状态,则默认为 Unknown.
Unknown符合性状态表示必须自行证明符合性状态。
以下屏幕截图显示了如何使用状态在 Azure 门户中显示手动策略分配 Unknown :
分配有 manual 效果的策略定义后,可以通过自定义 证明设置目标资源或范围的符合性状态。 证明还允许你通过元数据的形式提供可选的补充信息,并链接到附带所选符合性状态 的证据 的链接。 分配手动策略的人员可以通过指定evidenceStorages策略分配元数据的属性为证据推荐默认存储位置。
后续步骤
- 在 Azure Policy 示例中查看示例。
- 查看 Azure Policy 定义结构。
- 了解如何以编程方式创建策略。
- 了解如何获取符合性数据。
- 了解如何修正不符合的资源。
- 请参阅 Azure 管理组。