Sdílet prostřednictvím

struktura ověření identity Azure Policy

  • Článek

Ověření identity používají Azure Policy k nastavení stavů dodržování předpisů u prostředků nebo oborů, na které cílí ruční zásady. Umožňují také uživatelům poskytovat další metadata nebo odkaz na důkazy, které provázejí otestovaný stav dodržování předpisů.

Poznámka

Ověření identity je možné vytvářet a spravovat pouze prostřednictvím rozhraní API Azure Policy Azure Resource Manager (ARM),PowerShellu nebo Azure CLI.

Osvědčené postupy

Ověření identity je možné použít k nastavení stavu dodržování předpisů jednotlivých prostředků pro danou ruční zásadu. To znamená, že každý příslušný prostředek vyžaduje jedno ověření identity na ruční přiřazení zásad. Pro usnadnění správy by ruční zásady měly být navrženy tak, aby cílily na rozsah, který definuje hranici prostředků, jejichž stav dodržování předpisů je potřeba ověřovat.

Předpokládejme například, že organizace rozděluje týmy podle skupiny prostředků a každý tým musí osvědčit vývoj postupů pro zpracování prostředků v této skupině prostředků. V tomto scénáři by podmínky pravidla zásad měly určovat, že typ se rovná Microsoft.Resources/resourceGroups. Tímto způsobem se vyžaduje jedno ověření identity pro skupinu prostředků, nikoli pro každý jednotlivý prostředek v rámci. Podobně platí, že pokud organizace rozděluje týmy podle předplatných, mělo by pravidlo zásad cílit Microsoft.Resources/subscriptionsna .

Poskytnuté důkazy by obvykle měly odpovídat příslušným rozsahům organizační struktury. Tento model zabraňuje nutnosti duplikovat důkazy napříč mnoha ověřeními. Takové duplikace by ztěžovaly správu ručních zásad a značily by, že definice zásad cílí na nesprávné prostředky.

Příklad ověření identity

Níže je příklad vytvoření nového prostředku ověření identity, který nastaví stav dodržování předpisů pro skupinu prostředků, na kterou cílí ruční přiřazení zásad:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

Text požadavku

Níže je ukázkový objekt JSON prostředku ověření identity:

"properties": {
    "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
    "policyDefinitionReferenceId": "{definitionReferenceID}",
    "complianceState": "Compliant",
    "expiresOn": "2023-07-14T00:00:00Z",
    "owner": "{AADObjectID}",
    "comments": "This subscription has passed a security audit. See attached details for evidence",
    "evidence": [
        {
          "description": "The results of the security audit.",
          "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
        },
        {
          "description": "Description of the attached evidence document.",
          "sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
        },
    ],
    "assessmentDate": "2022-11-14T00:00:00Z",
    "metadata": {
         "departmentId": "{departmentID}"
     }
}
Vlastnost Popis
policyAssignmentId POŽADOVANÉ ID přiřazení, pro které se nastavuje stav.
policyDefinitionReferenceId Volitelné ID odkazu na definici, pokud je v rámci iniciativy zásad.
complianceState Požadovaný stav prostředků. Povolené hodnoty jsou Compliant, NonComplianta Unknown.
expiresOn Volitelné datum, ke kterému by se měl stav dodržování předpisů vrátit z otestovaného stavu dodržování předpisů do výchozího stavu
owner Volitelné Azure AD ID objektu odpovědné strany.
comments Volitelný popis, proč se nastavuje stav.
evidence Volitelné pole odkazů na doklady ověření identity.
assessmentDate Datum, kdy byly důkazy posouzeny.
metadata Volitelné další informace o ověření identity.

Vzhledem k tomu, že ověření identity jsou samostatným prostředkem od přiřazení zásad, mají vlastní životní cyklus. Ověření identity PUT, GET a DELETE můžete použít pomocí rozhraní ARM API. Ověření identity se odeberou, pokud se odstraní související ruční přiřazení zásad nebo policyDefinitionReferenceId nebo pokud se odstraní prostředek jedinečný pro ověření identity. Další podrobnosti najdete v referenčních informacích k rozhraní REST API zásad .

Další kroky