struktura ověření identity Azure Policy
Ověření identity používají Azure Policy k nastavení stavů dodržování předpisů u prostředků nebo oborů, na které cílí ruční zásady. Umožňují také uživatelům poskytovat další metadata nebo odkaz na důkazy, které provázejí otestovaný stav dodržování předpisů.
Poznámka
Ověření identity je možné vytvářet a spravovat pouze prostřednictvím rozhraní API Azure Policy Azure Resource Manager (ARM),PowerShellu nebo Azure CLI.
Osvědčené postupy
Ověření identity je možné použít k nastavení stavu dodržování předpisů jednotlivých prostředků pro danou ruční zásadu. To znamená, že každý příslušný prostředek vyžaduje jedno ověření identity na ruční přiřazení zásad. Pro usnadnění správy by ruční zásady měly být navrženy tak, aby cílily na rozsah, který definuje hranici prostředků, jejichž stav dodržování předpisů je potřeba ověřovat.
Předpokládejme například, že organizace rozděluje týmy podle skupiny prostředků a každý tým musí osvědčit vývoj postupů pro zpracování prostředků v této skupině prostředků. V tomto scénáři by podmínky pravidla zásad měly určovat, že typ se rovná Microsoft.Resources/resourceGroups
. Tímto způsobem se vyžaduje jedno ověření identity pro skupinu prostředků, nikoli pro každý jednotlivý prostředek v rámci. Podobně platí, že pokud organizace rozděluje týmy podle předplatných, mělo by pravidlo zásad cílit Microsoft.Resources/subscriptions
na .
Poskytnuté důkazy by obvykle měly odpovídat příslušným rozsahům organizační struktury. Tento model zabraňuje nutnosti duplikovat důkazy napříč mnoha ověřeními. Takové duplikace by ztěžovaly správu ručních zásad a značily by, že definice zásad cílí na nesprávné prostředky.
Příklad ověření identity
Níže je příklad vytvoření nového prostředku ověření identity, který nastaví stav dodržování předpisů pro skupinu prostředků, na kterou cílí ruční přiřazení zásad:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Text požadavku
Níže je ukázkový objekt JSON prostředku ověření identity:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
Vlastnost | Popis |
---|---|
policyAssignmentId |
POŽADOVANÉ ID přiřazení, pro které se nastavuje stav. |
policyDefinitionReferenceId |
Volitelné ID odkazu na definici, pokud je v rámci iniciativy zásad. |
complianceState |
Požadovaný stav prostředků. Povolené hodnoty jsou Compliant , NonCompliant a Unknown . |
expiresOn |
Volitelné datum, ke kterému by se měl stav dodržování předpisů vrátit z otestovaného stavu dodržování předpisů do výchozího stavu |
owner |
Volitelné Azure AD ID objektu odpovědné strany. |
comments |
Volitelný popis, proč se nastavuje stav. |
evidence |
Volitelné pole odkazů na doklady ověření identity. |
assessmentDate |
Datum, kdy byly důkazy posouzeny. |
metadata |
Volitelné další informace o ověření identity. |
Vzhledem k tomu, že ověření identity jsou samostatným prostředkem od přiřazení zásad, mají vlastní životní cyklus. Ověření identity PUT, GET a DELETE můžete použít pomocí rozhraní ARM API. Ověření identity se odeberou, pokud se odstraní související ruční přiřazení zásad nebo policyDefinitionReferenceId nebo pokud se odstraní prostředek jedinečný pro ověření identity. Další podrobnosti najdete v referenčních informacích k rozhraní REST API zásad .
Další kroky
- Projděte si Vysvětlení efektů zásad.
- Prostudujte si strukturu definice iniciativy.
- Příklady si projděte v ukázkách Azure Policy.