Azure Policy 증명 구조
증명은 Azure Policy에서 수동 정책의 대상이 되는 리소스 또는 범위의 규정 준수 상태를 설정하는 데 사용합니다. 또한 사용자가 더 많은 메타데이터를 제공하거나 증명된 규정 준수 상태를 수반하는 증거에 대한 링크를 제공할 수 있습니다.
참고 항목
증명은 Azure Policy ARM(Azure Resource Manager) API, PowerShell 또는 Azure CLI를 통해서만 만들고 관리할 수 있습니다.
모범 사례
증명을 사용하여 지정된 수동 정책에 대한 개별 리소스의 규정 준수 상태를 설정할 수 있습니다. 적용 가능한 각 리소스에는 수동 정책 할당당 하나의 증명이 필요합니다. 관리 편의를 위해 수동 정책은 규정 준수 상태를 증명해야 하는 리소스의 경계를 정의하는 범위를 대상으로 하도록 설계되어야 합니다.
예를 들어 조직에서 팀을 리소스 그룹으로 나누고 각 팀이 해당 리소스 그룹 내에서 리소스를 처리하기 위한 절차의 개발을 증명해야 한다고 가정해 보겠습니다. 이 시나리오에서 정책 규칙의 조건은 형식을 Microsoft.Resources/resourceGroups로 지정해야 합니다. 이와 같이 각 개별 리소스가 아닌 리소스 그룹에 대해 하나의 증명이 필요합니다. 마찬가지로 조직에서 팀을 구독별로 나누면 정책 규칙은 Microsoft.Resources/subscriptions를 대상으로 해야 합니다.
일반적으로 제공된 증거는 조직 구조의 관련 범위와 일치해야 합니다. 이 패턴에 따르면 여러 증명에서 증거를 복제할 필요가 없습니다. 이러한 중복은 수동 정책을 관리하기 어렵게 만들고 정책 정의가 잘못된 리소스를 대상으로 함을 나타냅니다.
예제 증명
다음 예제에서는 수동 정책 할당을 대상으로 하는 리소스 그룹의 준수 상태를 설정하는 새 증명 리소스를 만듭니다.
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
요청 본문
다음 코드는 샘플 증명 리소스 JSON 개체입니다.
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| 속성 | 설명 |
|---|---|
policyAssignmentId |
상태가 설정되는 필수 할당 ID |
policyDefinitionReferenceId |
정책 이니셔티브 내에 있는 경우 선택적 정의 참조 ID |
complianceState |
리소스의 원하는 상태 허용되는 값은 Compliant, NonCompliant 및 Unknown입니다. |
expiresOn |
준수 상태가 수집된 준수 상태에서 기본 상태로 되돌려야 하는 선택적 날짜입니다. |
owner |
책임 당사자의 선택적 Microsoft Entra ID 개체 ID입니다. |
comments |
상태가 설정되는 이유에 대한 선택적 설명 |
evidence |
증명 증거에 대한 링크의 선택적 배열 |
assessmentDate |
증거가 평가된 날짜 |
metadata |
증명에 대한 선택적 추가 정보 |
증명은 정책 할당과는 별개의 리소스이므로 자체 수명 주기가 있습니다. Azure Resource Manager API를 사용하여 증명을 PUT, GET 및 DELETE할 수 있습니다. 관련 수동 정책 할당 또는 삭제되거나 policyDefinitionReferenceId 증명에 고유한 리소스가 삭제되면 증명이 제거됩니다. 자세한 내용은 정책 REST API 참조로 이동하세요.