Estrutura de atestado de Política do Azure
Os atestados são usados pela Política do Azure para definir estados de conformidade de recursos ou escopos direcionados por políticas manuais. Eles também permitem que os usuários forneçam mais metadados ou links para evidências que acompanham o estado de conformidade atestado.
Nota
As attestations podem ser criadas e gerenciadas somente por meio da API do Azure Policy Azure Resource Manager (ARM), PowerShell ou CLI do Azure.
Melhores práticas
Os atestados podem ser usados para definir o estado de conformidade de um recurso individual para uma determinada política manual. Cada recurso aplicável requer um atestado por atribuição manual de política. Para facilitar o gerenciamento, as políticas manuais devem ser projetadas para direcionar o escopo que define o limite de recursos cujo estado de conformidade precisa ser atestado.
Por exemplo, suponha que uma organização divida equipes por grupo de recursos e cada equipe seja obrigada a atestar o desenvolvimento de procedimentos para lidar com recursos dentro desse grupo de recursos. Nesse cenário, as condições da regra de política devem especificar que o tipo é igual a Microsoft.Resources/resourceGroups. Desta forma, é necessário um atestado para o grupo de recursos, em vez de para cada recurso individual dentro. Da mesma forma, se a organização dividir as equipes por assinaturas, a regra de política deve ter como alvo Microsoft.Resources/subscriptions.
Normalmente, as evidências fornecidas devem corresponder aos escopos relevantes da estrutura organizacional. Este padrão evita a necessidade de duplicar provas em muitos atestados. Tais duplicações tornariam as políticas manuais difíceis de gerir e indicariam que a definição da política visa os recursos errados.
Exemplo de atestado
O exemplo a seguir cria um novo recurso de atestado que define o estado de conformidade para um grupo de recursos direcionado por uma atribuição de política manual:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Corpo do pedido
O código a seguir é um objeto JSON de recurso de atestado de exemplo:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Property | Description |
|---|---|
policyAssignmentId |
ID de atribuição necessária para a qual o estado está sendo definido. |
policyDefinitionReferenceId |
ID de referência de definição opcional, se estiver no âmbito de uma iniciativa política. |
complianceState |
Estado desejado dos recursos. Os valores permitidos são Compliant, NonCompliante Unknown. |
expiresOn |
Data opcional em que o estado de conformidade deve reverter do estado de conformidade atestado para o estado padrão. |
owner |
ID opcional do objeto Microsoft Entra ID da parte responsável. |
comments |
Descrição opcional do motivo pelo qual o estado está sendo definido. |
evidence |
Conjunto opcional de links para provas de atestado. |
assessmentDate |
Data em que os elementos de prova foram apreciados. |
metadata |
Informações adicionais opcionais sobre o atestado. |
Como os atestados são um recurso separado das atribuições de políticas, eles têm seu próprio ciclo de vida. Você pode atestar PUT, GET e DELETE usando a API do Azure Resource Manager. Os atestados são removidos se a atribuição manual de política relacionada for excluída ou policyDefinitionReferenceId se um recurso exclusivo para o atestado for excluído. Para obter mais informações, vá para Policy REST API Reference para obter mais detalhes.
Próximos passos
- As definições de Política do Azure afetam as noções básicas.
- Estrutura de definição da iniciativa da Política do Azure.
- Exemplos de Política do Azure.