Udostępnij za pośrednictwem

Struktura zaświadczania usługi Azure Policy

  • Artykuł

Zaświadczania są używane przez usługę Azure Policy do ustawiania stanów zgodności zasobów lub zakresów przeznaczonych dla zasad ręcznych. Umożliwiają one również użytkownikom udostępnianie większej liczby metadanych lub linków do dowodów, które towarzyszą testowanemu stanowi zgodności.

Uwaga

Zaświadczania można tworzyć i zarządzać tylko za pośrednictwem interfejsu API usługi Azure Resource Manager (ARM), programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Najlepsze rozwiązania

Zaświadczania mogą służyć do ustawiania stanu zgodności pojedynczego zasobu dla danej zasady ręcznej. Każdy odpowiedni zasób wymaga jednego zaświadczania na przypisanie zasad ręcznych. Aby ułatwić zarządzanie, zasady ręczne powinny być przeznaczone do określania zakresu definiującego granicę zasobów, których stan zgodności musi być testowany.

Załóżmy na przykład, że organizacja dzieli zespoły według grupy zasobów, a każdy zespół musi potwierdzić opracowywanie procedur obsługi zasobów w ramach tej grupy zasobów. W tym scenariuszu warunki reguły zasad powinny określać, że typ jest Microsoft.Resources/resourceGroupsrówny . Dzięki temu jedno zaświadczenie jest wymagane dla grupy zasobów, a nie dla każdego pojedynczego zasobu w ramach. Podobnie jeśli organizacja dzieli zespoły według subskrypcji, reguła zasad powinna dotyczyć elementu .Microsoft.Resources/subscriptions

Zazwyczaj dostarczone dowody powinny odpowiadać odpowiednim zakresom struktury organizacyjnej. Ten wzorzec zapobiega konieczności duplikowania dowodów w wielu zaświadczaniach. Takie duplikacje utrudniają zarządzanie zasadami ręcznymi i wskazują, że definicja zasad jest przeznaczona dla nieprawidłowych zasobów.

Przykładowe zaświadczenie

W poniższym przykładzie tworzony jest nowy zasób zaświadczania, który ustawia stan zgodności dla grupy zasobów objętej ręcznym przypisaniem zasad:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

Treść żądania

Poniższy kod to przykładowy obiekt JSON zasobu zaświadczania:

"properties": {
  "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
  "policyDefinitionReferenceId": "{definitionReferenceID}",
  "complianceState": "Compliant",
  "expiresOn": "2023-07-14T00:00:00Z",
  "owner": "{AADObjectID}",
  "comments": "This subscription has passed a security audit. See attached details for evidence",
  "evidence": [
    {
      "description": "The results of the security audit.",
      "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
    },
    {
      "description": "Description of the attached evidence document.",
      "sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
    },
  ],
  "assessmentDate": "2022-11-14T00:00:00Z",
  "metadata": {
    "departmentId": "{departmentID}"
  }
}
Właściwości opis
policyAssignmentId Wymagany identyfikator przypisania, dla którego jest ustawiany stan.
policyDefinitionReferenceId Opcjonalny identyfikator odwołania definicji, jeśli w ramach inicjatywy zasad.
complianceState Żądany stan zasobów. Dozwolone wartości to Compliant, NonComplianti Unknown.
expiresOn Opcjonalna data, w której stan zgodności powinien zostać przywrócony ze stanu zgodności ze sprawdzonym stanem zgodności do stanu domyślnego.
owner Opcjonalny identyfikator obiektu Entra firmy Microsoft dla odpowiedzialnej strony.
comments Opcjonalny opis przyczyny ustawiania stanu.
evidence Opcjonalna tablica linków do dowodów zaświadczania.
assessmentDate Data oceny dowodów.
metadata Opcjonalne dodatkowe informacje o zaświadczeniu.

Ponieważ zaświadczania są oddzielnym zasobem od przypisań zasad, mają własny cykl życia. Za pomocą interfejsu API usługi Azure Resource Manager można przeprowadzić zaświadczania PUT, GET i DELETE. Zaświadczania są usuwane w przypadku usunięcia powiązanego ręcznego przypisania zasad lub policyDefinitionReferenceId usunięcia zasobu unikatowego dla zaświadczania. Aby uzyskać więcej informacji, zobacz Dokumentacja interfejsu API REST zasad, aby uzyskać więcej informacji.

Następne kroki