Azure Policy igazolási struktúra
Az igazolásokat a Azure Policy a manuális szabályzatok által megcélzott erőforrások vagy hatókörök megfelelőségi állapotának beállítására használják. Emellett lehetővé teszik a felhasználók számára, hogy további metaadatokat adjanak meg, vagy hivatkozhassanak olyan bizonyítékokra, amelyek az igazolt megfelelőségi állapothoz tartoznak.
Megjegyzés
Az igazolások csak Azure Policy Azure Resource Manager (ARM) API,PowerShell vagy Azure CLI használatával hozhatók létre és kezelhetők.
Ajánlott eljárások
Az igazolásokkal beállíthatja egy adott erőforrás megfelelőségi állapotát egy adott manuális szabályzathoz. Ez azt jelenti, hogy minden alkalmazható erőforráshoz manuális szabályzat-hozzárendelésenként egy igazolás szükséges. A kezelés megkönnyítése érdekében a manuális szabályzatokat úgy kell megtervezni, hogy azok a hatókörök, amelyek meghatározzák azoknak az erőforrásoknak a határait, amelyek megfelelőségi állapotát igazolni kell.
Tegyük fel például, hogy egy szervezet erőforráscsoport szerint osztja el a csapatokat, és minden csapatnak igazolnia kell az adott erőforráscsoporton belüli erőforrások kezelésére vonatkozó eljárások kidolgozását. Ebben a forgatókönyvben a szabályzatszabály feltételeinek meg kell adniuk, hogy a típus értéke legyen Microsoft.Resources/resourceGroups
. Ily módon egy igazolásra van szükség az erőforráscsoporthoz, nem pedig a benne lévő egyes erőforrásokhoz. Hasonlóképpen, ha a szervezet előfizetések szerint osztja el a csapatokat, a szabályzatszabálynak a következőre kell irányulnia Microsoft.Resources/subscriptions
: .
A rendelkezésre bocsátott bizonyítékoknak általában meg kell felelnie a szervezeti struktúra releváns hatóköreinek. Ez a minta megakadályozza, hogy több igazoláson duplikálni kell a bizonyítékokat. Az ilyen duplikációk megnehezítik a manuális szabályzatok kezelését, és azt jelzik, hogy a szabályzatdefiníció nem a megfelelő erőforrás(oka)t célozza meg.
Példaigazolásra
Az alábbi példa egy új igazolási erőforrás létrehozását szemlélteti, amely egy manuális szabályzat-hozzárendeléssel megcélzott erőforráscsoport megfelelőségi állapotát állítja be:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
A kérés törzse
Az alábbiakban egy mintaigazolási erőforrás JSON-objektuma látható:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
Tulajdonság | Leírás |
---|---|
policyAssignmentId |
Kötelező hozzárendelés-azonosító, amelyhez az állapot be van állítva. |
policyDefinitionReferenceId |
Nem kötelező definíció referencia-azonosítója, ha egy szabályzatkezdeményezeten belül van. |
complianceState |
Az erőforrások kívánt állapota. Az engedélyezett értékek a következők: Compliant , NonCompliant és Unknown . |
expiresOn |
Nem kötelező az a dátum, amikor a megfelelőségi állapotnak vissza kell térnie az igazolt megfelelőségi állapotból az alapértelmezett állapotba |
owner |
Nem kötelező Azure AD felelős fél objektumazonosítója. |
comments |
Nem kötelező annak leírása, hogy miért van beállítva állapot. |
evidence |
Az igazolási bizonyítékokra mutató hivatkozások választható tömbje. |
assessmentDate |
A bizonyíték értékelésének időpontja. |
metadata |
Nem kötelező, további információk az igazolásról. |
Mivel az igazolások külön erőforrások a szabályzat-hozzárendelésektől, saját életciklusuk van. Az ARM API-val PUT, GET és DELETE igazolásokat is létrehozhat. Az igazolások törlődnek, ha a kapcsolódó manuális szabályzat-hozzárendelés vagy policyDefinitionReferenceId törlődik, vagy ha az igazoláshoz egyedi erőforrást törölnek. További részletekért tekintse meg a Szabályzat REST API-referenciáját .
Következő lépések
- A Szabályzatok hatásainak ismertetése.
- A kezdeményezésdefiníciós struktúra tanulmányozása
- Tekintse át Azure Policy példákat.