Criteri di Azure struttura di attestazione
Le attestazioni vengono usate da Criteri di Azure per impostare gli stati di conformità delle risorse o degli ambiti di destinazione dei criteri manuali. Consentono inoltre agli utenti di fornire più metadati o collegamenti a prove che accompagnano lo stato di conformità attestato.
Nota
Le attestazioni possono essere create e gestite solo tramite Criteri di Azure API di Azure Resource Manager (ARM), PowerShell o l'interfaccia della riga di comando di Azure.
Procedure consigliate
Le attestazioni possono essere usate per impostare lo stato di conformità di una singola risorsa per un determinato criterio manuale. Ogni risorsa applicabile richiede un'attestazione per ogni assegnazione manuale dei criteri. Per semplificare la gestione, i criteri manuali devono essere progettati per definire l'ambito che definisce il limite delle risorse il cui stato di conformità deve essere attestato.
Si supponga, ad esempio, che un'organizzazione divide i team per gruppo di risorse e che ogni team sia necessario per attestare lo sviluppo di procedure per la gestione delle risorse all'interno di tale gruppo di risorse. In questo scenario, le condizioni della regola dei criteri devono specificare che il tipo è uguale a Microsoft.Resources/resourceGroups. In questo modo, è necessaria un'attestazione per il gruppo di risorse, anziché per ogni singola risorsa all'interno. Analogamente, se l'organizzazione divide i team per sottoscrizioni, la regola dei criteri deve avere come destinazione Microsoft.Resources/subscriptions.
In genere, l'evidenza fornita deve corrispondere agli ambiti pertinenti della struttura organizzativa. Questo modello impedisce la necessità di duplicare l'evidenza in più attestazioni. Tali duplicazioni renderebbero difficile gestire i criteri manuali e indicare che la definizione dei criteri è destinata alle risorse sbagliate.
Attestazione di esempio
Nell'esempio seguente viene creata una nuova risorsa di attestazione che imposta lo stato di conformità per un gruppo di risorse di destinazione di un'assegnazione manuale dei criteri:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Testo della richiesta
Il codice seguente è un oggetto JSON della risorsa di attestazione di esempio:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Proprietà | Descrizione |
|---|---|
policyAssignmentId |
ID assegnazione obbligatorio per il quale viene impostato lo stato. |
policyDefinitionReferenceId |
ID riferimento definizione facoltativo, se all'interno di un'iniziativa di criteri. |
complianceState |
Stato desiderato delle risorse. I valori consentiti sono Compliant, NonCompliant e Unknown. |
expiresOn |
Data facoltativa in cui lo stato di conformità deve ripristinare lo stato di conformità con attestazione allo stato predefinito. |
owner |
ID oggetto Microsoft Entra ID facoltativo dell'entità responsabile. |
comments |
Descrizione facoltativa del motivo per cui viene impostato lo stato. |
evidence |
Matrice facoltativa di collegamenti a prove di attestazione. |
assessmentDate |
Data in cui sono state valutate le prove. |
metadata |
Informazioni aggiuntive facoltative sull'attestazione. |
Poiché le attestazioni sono una risorsa separata dalle assegnazioni di criteri, hanno il proprio ciclo di vita. È possibile aggiungere attestazioni PUT, GET ed DELETE usando l'API di Azure Resource Manager. Le attestazioni vengono rimosse se l'assegnazione dei criteri manuale correlata o policyDefinitionReferenceId viene eliminata o se viene eliminata una risorsa univoca per l'attestazione. Per altre informazioni, vedere Informazioni di riferimento sull'API REST dei criteri per altri dettagli.
Passaggi successivi
- Criteri di Azure nozioni di base sugli effetti delle definizioni.
- Criteri di Azure struttura di definizione dell'iniziativa.
- Criteri di Azure esempi.