Megosztás a következőn keresztül:

Azure Policy igazolási struktúra

  • Cikk

Az igazolásokat a Azure Policy a manuális szabályzatok által megcélzott erőforrások vagy hatókörök megfelelőségi állapotának beállítására használják. Emellett lehetővé teszik a felhasználók számára, hogy további metaadatokat adjanak meg, vagy hivatkozhassanak olyan bizonyítékokra, amelyek az igazolt megfelelőségi állapothoz tartoznak.

Megjegyzés

Az igazolások csak Azure Policy Azure Resource Manager (ARM) API,PowerShell vagy Azure CLI használatával hozhatók létre és kezelhetők.

Ajánlott eljárások

Az igazolásokkal beállíthatja egy adott erőforrás megfelelőségi állapotát egy adott manuális szabályzathoz. Ez azt jelenti, hogy minden alkalmazható erőforráshoz manuális szabályzat-hozzárendelésenként egy igazolás szükséges. A kezelés megkönnyítése érdekében a manuális szabályzatokat úgy kell megtervezni, hogy azok a hatókörök, amelyek meghatározzák azoknak az erőforrásoknak a határait, amelyek megfelelőségi állapotát igazolni kell.

Tegyük fel például, hogy egy szervezet erőforráscsoport szerint osztja el a csapatokat, és minden csapatnak igazolnia kell az adott erőforráscsoporton belüli erőforrások kezelésére vonatkozó eljárások kidolgozását. Ebben a forgatókönyvben a szabályzatszabály feltételeinek meg kell adniuk, hogy a típus értéke legyen Microsoft.Resources/resourceGroups. Ily módon egy igazolásra van szükség az erőforráscsoporthoz, nem pedig a benne lévő egyes erőforrásokhoz. Hasonlóképpen, ha a szervezet előfizetések szerint osztja el a csapatokat, a szabályzatszabálynak a következőre kell irányulnia Microsoft.Resources/subscriptions: .

A rendelkezésre bocsátott bizonyítékoknak általában meg kell felelnie a szervezeti struktúra releváns hatóköreinek. Ez a minta megakadályozza, hogy több igazoláson duplikálni kell a bizonyítékokat. Az ilyen duplikációk megnehezítik a manuális szabályzatok kezelését, és azt jelzik, hogy a szabályzatdefiníció nem a megfelelő erőforrás(oka)t célozza meg.

Példaigazolásra

Az alábbi példa egy új igazolási erőforrás létrehozását szemlélteti, amely egy manuális szabályzat-hozzárendeléssel megcélzott erőforráscsoport megfelelőségi állapotát állítja be:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

A kérés törzse

Az alábbiakban egy mintaigazolási erőforrás JSON-objektuma látható:

"properties": {
    "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
    "policyDefinitionReferenceId": "{definitionReferenceID}",
    "complianceState": "Compliant",
    "expiresOn": "2023-07-14T00:00:00Z",
    "owner": "{AADObjectID}",
    "comments": "This subscription has passed a security audit. See attached details for evidence",
    "evidence": [
        {
          "description": "The results of the security audit.",
          "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
        },
        {
          "description": "Description of the attached evidence document.",
          "sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
        },
    ],
    "assessmentDate": "2022-11-14T00:00:00Z",
    "metadata": {
         "departmentId": "{departmentID}"
     }
}
Tulajdonság Leírás
policyAssignmentId Kötelező hozzárendelés-azonosító, amelyhez az állapot be van állítva.
policyDefinitionReferenceId Nem kötelező definíció referencia-azonosítója, ha egy szabályzatkezdeményezeten belül van.
complianceState Az erőforrások kívánt állapota. Az engedélyezett értékek a következők: Compliant, NonCompliantés Unknown.
expiresOn Nem kötelező az a dátum, amikor a megfelelőségi állapotnak vissza kell térnie az igazolt megfelelőségi állapotból az alapértelmezett állapotba
owner Nem kötelező Azure AD felelős fél objektumazonosítója.
comments Nem kötelező annak leírása, hogy miért van beállítva állapot.
evidence Az igazolási bizonyítékokra mutató hivatkozások választható tömbje.
assessmentDate A bizonyíték értékelésének időpontja.
metadata Nem kötelező, további információk az igazolásról.

Mivel az igazolások külön erőforrások a szabályzat-hozzárendelésektől, saját életciklusuk van. Az ARM API-val PUT, GET és DELETE igazolásokat is létrehozhat. Az igazolások törlődnek, ha a kapcsolódó manuális szabályzat-hozzárendelés vagy policyDefinitionReferenceId törlődik, vagy ha az igazoláshoz egyedi erőforrást törölnek. További részletekért tekintse meg a Szabályzat REST API-referenciáját .

Következő lépések