Estrutura de atestado do Azure Policy
Os atestados são usados pelo Azure Policy para definir estados de conformidade de recursos ou escopos direcionados pelas políticas manuais. Eles também permitem que os usuários forneçam mais metadados ou link para evidência que acompanha o estado de conformidade atestado.
Observação
Os atestados só podem ser criados e gerenciados por meio do Azure Policy API do ARM (Azure Resource Manager),, PowerShell ou CLI do Azure.
Práticas recomendadas
Os Atestados podem ser usados para definir o estado de conformidade de um recurso individual para uma determinada política manual. Cada recurso aplicável requer um atestado por atribuição de política manual. Para facilitar o gerenciamento, as políticas manuais devem ser projetadas para direcionar o escopo que define o limite de recursos cujo estado de conformidade precisa ser atestado.
Por exemplo, suponha que uma organização divida as equipes por grupo de recursos e que cada equipe seja obrigada a atestar o desenvolvimento de procedimentos para lidar com recursos dentro desse grupo de recursos. Nesse cenário, as condições da regra da política devem especificar esse tipo igual a Microsoft.Resources/resourceGroups. Dessa forma, um atestado é necessário para o grupo de recursos, em vez de um para cada recurso individual dentro dele. Da mesma forma, se a organização dividir as equipes por assinaturas, a regra da política deverá ser direcionada a Microsoft.Resources/subscriptions.
Normalmente, as evidências fornecidas devem corresponder aos escopos relevantes da estrutura organizacional. Esse padrão evita a necessidade de duplicar evidências em vários atestados. Essas duplicações dificultariam o gerenciamento de políticas manuais e indicariam que a definição da política tem como destino os recursos errados.
Atestado de exemplo
O exemplo a seguir cria um novo recurso de atestado que define o estado de conformidade de um grupo de recursos direcionado por uma atribuição de política manual:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Corpo da solicitação
O código a seguir é um exemplo de objeto JSON de recurso de atestado:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Propriedade | Descrição |
|---|---|
policyAssignmentId |
ID de atribuição necessária para a qual o estado está sendo definido. |
policyDefinitionReferenceId |
ID de referência de definição opcional, se estiver em uma iniciativa de política. |
complianceState |
Estado desejado dos recursos. Os valores permitidos são Compliant, NonCompliant e Unknown. |
expiresOn |
Data opcional na qual o estado de conformidade deve ser revertido do estado de conformidade atestado para o estado padrão. |
owner |
ID de objeto opcional do Microsoft Entra ID da parte responsável. |
comments |
Descrição opcional do motivo do estado ser definido. |
evidence |
Matriz opcional de links para evidência de atestado. |
assessmentDate |
Data na qual a evidência foi avaliada. |
metadata |
Informações adicionais opcionais sobre o atestado. |
Como os atestados são um recurso separado das atribuições de política, eles têm seu próprio ciclo de vida. Você pode realizar as operações PUT, GET e DELETE de atestados usando a API do Azure Resource Manager. Os atestados são removidos se a atribuição de política manual relacionada ou policyDefinitionReferenceId for excluído, ou se um recurso exclusivo para o atestado for excluído. Para obter mais informações, acesse a Referência de API REST da Política para obter mais detalhes.