Azure Policy-attesteringsstruktur
Attesteringar används av Azure Policy för att ange efterlevnadstillstånd för resurser eller omfång som omfattas av manuella principer. De gör det också möjligt för användare att tillhandahålla mer metadata eller länka till bevis som åtföljer det intygade efterlevnadstillståndet.
Kommentar
Attesteringar kan endast skapas och hanteras via Azure Policy Azure Resource Manager (ARM) API, PowerShell eller Azure CLI.
Bästa praxis
Attesteringar kan användas för att ange efterlevnadstillståndet för en enskild resurs för en viss manuell princip. Varje tillämplig resurs kräver en attestering per manuell principtilldelning. För enkel hantering bör manuella principer utformas för att rikta in sig på det omfång som definierar gränsen för resurser vars efterlevnadstillstånd måste intygas.
Anta till exempel att en organisation delar upp team efter resursgrupp, och varje team måste intyga utvecklingen av procedurer för hantering av resurser i resursgruppen. I det här scenariot bör villkoren för principregeln ange att typen är lika med Microsoft.Resources/resourceGroups. På så sätt krävs en attestering för resursgruppen i stället för för varje enskild resurs i. På samma sätt, om organisationen delar upp team efter prenumerationer, bör principregeln rikta in sig på Microsoft.Resources/subscriptions.
Vanligtvis bör de tillhandahållna bevisen motsvara relevanta omfång för organisationsstrukturen. Det här mönstret förhindrar behovet av att duplicera bevis över många attesteringar. Sådana dupliceringar skulle göra det svårt att hantera manuella principer och indikera att principdefinitionen riktar sig mot fel resurser.
Exempel på attestering
I följande exempel skapas en ny attesteringsresurs som anger efterlevnadstillståndet för en resursgrupp som är mål för en manuell principtilldelning:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Begärandetext
Följande kod är ett exempel på attesteringsresursens JSON-objekt:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Property | beskrivning |
|---|---|
policyAssignmentId |
Obligatoriskt tilldelnings-ID som tillståndet anges för. |
policyDefinitionReferenceId |
Valfritt definitionsreferens-ID, om det ingår i ett principinitiativ. |
complianceState |
Önskat tillstånd för resurserna. Tillåtna värden är Compliant, NonCompliantoch Unknown. |
expiresOn |
Valfritt datum då kompatibilitetstillståndet ska återgå från det intygade efterlevnadstillståndet till standardtillståndet. |
owner |
Valfritt Microsoft Entra ID-objekt-ID för ansvarig part. |
comments |
Valfri beskrivning av varför tillstånd anges. |
evidence |
Valfri matris med länkar till attesteringsbevis. |
assessmentDate |
Datum då bevisen bedömdes. |
metadata |
Valfri ytterligare information om attesteringen. |
Eftersom attesteringar är en separat resurs från principtilldelningar har de en egen livscykel. Du kan ANVÄNDA PUT-, GET- och DELETE-intyg med hjälp av Azure Resource Manager-API:et. Attesteringar tas bort om den relaterade manuella principtilldelningen eller policyDefinitionReferenceId tas bort, eller om en resurs som är unik för attesteringen tas bort. Mer information finns i PRINCIP REST API-referens för mer information.
Nästa steg
- Azure Policy-definitioner påverkar grunderna.
- Definitionsstruktur för Azure Policy-initiativ.
- Azure Policy-exempel.