Share via

Estrutura de atestado do Azure Policy

  • Artigo

Os atestados são usados pelo Azure Policy para definir estados de conformidade de recursos ou escopos direcionados pelas políticas manuais. Eles também permitem que os usuários forneçam metadados adicionais ou link para evidência que acompanha o estado de conformidade atestado.

Observação

Os atestados só podem ser criados e gerenciados por meio do Azure Policy API do ARM (Azure Resource Manager),, PowerShell ou CLI do Azure.

Práticas recomendadas

Os Atestados podem ser usados para definir o estado de conformidade de um recurso individual para uma determinada política manual. Isso significa que cada recurso aplicável requer um atestado por atribuição de política manual. Para facilitar o gerenciamento, as políticas manuais devem ser projetadas para direcionar o escopo que define o limite de recursos cujo estado de conformidade precisa ser atestado.

Por exemplo, suponha que uma organização divida as equipes por grupo de recursos e que cada equipe seja obrigada a atestar o desenvolvimento de procedimentos para lidar com recursos dentro desse grupo de recursos. Nesse cenário, as condições da regra da política devem especificar esse tipo igual a Microsoft.Resources/resourceGroups. Dessa forma, um atestado é necessário para o grupo de recursos, em vez de um para cada recurso individual dentro dele. Da mesma forma, se a organização dividir as equipes por assinaturas, a regra da política deverá ser direcionada a Microsoft.Resources/subscriptions.

Normalmente, as evidências fornecidas devem corresponder aos escopos relevantes da estrutura organizacional. Esse padrão evita a necessidade de duplicar evidências em vários atestados. Essas duplicações dificultariam o gerenciamento de políticas manuais e indicariam que a definição da política tem como destino os recursos errados.

Atestado de exemplo

Veja abaixo um exemplo de criação de um novo recurso de atestado que define o estado de conformidade de um grupo de recursos direcionado por uma atribuição de política manual:

PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01

Corpo da solicitação

Este é um objeto JSON de recurso de atestado de exemplo:

"properties": {
    "policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
    "policyDefinitionReferenceId": "{definitionReferenceID}",
    "complianceState": "Compliant",
    "expiresOn": "2023-07-14T00:00:00Z",
    "owner": "{AADObjectID}",
    "comments": "This subscription has passed a security audit. See attached details for evidence",
    "evidence": [
        {
          "description": "The results of the security audit.",
          "sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
        },
        {
          "description": "Description of the attached evidence document.",
          "sourceUri": "https://storagesamples.blob.core.windows.net/sample-container/contingency_evidence_adendum.docx"
        },
    ],
    "assessmentDate": "2022-11-14T00:00:00Z",
    "metadata": {
         "departmentId": "{departmentID}"
     }
}
Propriedade Descrição
policyAssignmentId ID de atribuição necessária para a qual o estado está sendo definido.
policyDefinitionReferenceId ID de referência de definição opcional, se estiver em uma iniciativa de política.
complianceState Estado desejado dos recursos. Os valores permitidos são Compliant, NonCompliant e Unknown.
expiresOn Data opcional na qual o estado de conformidade deve ser revertido do estado de conformidade atestado para o estado padrão
owner ID de objeto opcional da parte responsável do Azure AD.
comments Descrição opcional do motivo do estado ser definido.
evidence Matriz opcional de links para evidência de atestado.
assessmentDate Data na qual a evidência foi avaliada.
metadata Informações adicionais opcionais sobre o atestado.

Como os atestados são um recurso separado das atribuições de política, eles têm seu próprio ciclo de vida. Você pode COLOCAR, OBTER e EXCLUIR atestados usando a API do ARM. Os atestados são removidos se a atribuição de política manual relacionada ou policyDefinitionReferenceId for excluído, ou se um recurso exclusivo para o atestado for excluído. Confira a referência de API REST da política para obter mais detalhes.

Próximas etapas