Efekt ręczny definicji usługi Azure Policy
Nowy manual
efekt umożliwia samodzielne potwierdzanie zgodności zasobów lub zakresów. W przeciwieństwie do innych definicji zasad, które aktywnie skanują pod kątem oceny, efekt ręczny umożliwia ręczne zmiany stanu zgodności. Aby zmienić zgodność zasobu lub zakresu objętego zasadami ręcznymi, należy utworzyć zaświadczenie. Najlepszym rozwiązaniem jest zaprojektowanie zasad ręcznych przeznaczonych dla zakresu definiującego granicę zasobów, których zgodność wymaga zaświadczania.
Uwaga
Obsługa zasad ręcznych jest dostępna za pośrednictwem różnych inicjatyw dotyczących zgodności z przepisami Microsoft Defender dla Chmury. Jeśli jesteś klientem Microsoft Defender dla Chmury w warstwie Premium, zapoznaj się z omówieniem ich środowiska.
Poniżej przedstawiono przykłady inicjatyw zasad regulacyjnych, które obejmują definicje zasad z manual
efektem:
- FedRAMP High
- FedRAMP Medium
- HIPAA
- HITRUST
- ISO 27001
- Microsoft CIS 1.3.0
- Microsoft CIS 1.4.0
- NIST SP 800-171 Rev. 2
- NIST SP 800-53 Rev. 4
- NIST SP 800-53 Rev. 5
- PCI DSS 3.2.1
- PCI DSS 4.0
- SWIFT CSP CSCF v2022
Poniższy przykład dotyczy subskrypcji platformy Azure i ustawia początkowy stan zgodności na Unknown
wartość .
{
"if": {
"field": "type",
"equals": "Microsoft.Resources/subscriptions"
},
"then": {
"effect": "manual",
"details": {
"defaultState": "Unknown"
}
}
}
Właściwość defaultState
ma trzy możliwe wartości:
Unknown
: początkowy, domyślny stan docelowych zasobów.Compliant
: Zasób jest zgodny ze standardami zasad ręcznychNon-compliant
: Zasób jest niezgodny zgodnie ze standardami zasad ręcznych
Aparat zgodności usługi Azure Policy ocenia wszystkie odpowiednie zasoby do stanu domyślnego określonego w definicji (Unknown
jeśli nie zostanie określony). Stan Unknown
zgodności wskazuje, że należy ręcznie potwierdzić stan zgodności zasobów. Jeśli stan efektu jest nieokreślony, wartość domyślna to Unknown
. Stan Unknown
zgodności wskazuje, że musisz potwierdzić stan zgodności samodzielnie.
Poniższy zrzut ekranu przedstawia sposób ręcznego przypisywania zasad ze stanem Unknown
w witrynie Azure Portal:
Po przypisaniu definicji zasad z manual
efektem można ustawić stany zgodności docelowych zasobów lub zakresów za pomocą niestandardowych zaświadczeń. Zaświadczania umożliwiają również podawanie opcjonalnych informacji uzupełniających za pośrednictwem postaci metadanych i linków do dowodów towarzyszących wybranemu stanowi zgodności. Osoba przypisując zasady ręczne może zalecić domyślną lokalizację przechowywania dowodów, określając evidenceStorages
właściwość metadanych przypisania zasad.
Następne kroki
- Zapoznaj się z przykładami w przykładach usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Dowiedz się, jak programowo tworzyć zasady.
- Dowiedz się, jak uzyskać dane zgodności.
- Dowiedz się, jak korygować niezgodne zasoby.
- Przejrzyj grupy zarządzania platformy Azure.