структура аттестации Политика Azure
Аттестации используются Политика Azure для задания состояний соответствия ресурсам или областям, предназначенным для политик вручную. Они также позволяют пользователям предоставлять дополнительные метаданные или ссылаться на доказательства, сопровождающие подтвержденное состояние соответствия.
Примечание.
Аттестации можно создавать и управлять только с помощью Политика Azure API Azure Resource Manager (ARM), PowerShell или Azure CLI.
Рекомендации
Аттестации можно использовать для задания состояния соответствия отдельного ресурса для заданной политики вручную. Для каждого применимого ресурса требуется одна аттестация на назначение политики вручную. Чтобы упростить управление, политики вручную должны быть разработаны для целевой области, которая определяет границу ресурсов, состояние соответствия которым необходимо подтвердить.
Например, предположим, что организация делит команды по группам ресурсов, и каждая команда должна подтвердить разработку процедур обработки ресурсов в этой группе ресурсов. В этом сценарии условия правила политики должны указывать, что тип равен Microsoft.Resources/resourceGroups. Таким образом, для группы ресурсов требуется одна аттестация, а не для каждого отдельного ресурса в пределах. Аналогичным образом, если организация разделяет команды по подпискам, правило политики должно быть целевым Microsoft.Resources/subscriptions.
Как правило, предоставленные доказательства должны соответствовать соответствующим областям организационной структуры. Этот шаблон предотвращает необходимость дублировать доказательства во многих аттестациях. Такие дублирования затрудняют управление политиками вручную и указывают на то, что определение политики нацелено на неправильные ресурсы.
Пример аттестации
В следующем примере создается новый ресурс аттестации, который задает состояние соответствия для группы ресурсов, предназначенной для назначения политики вручную:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Текст запроса
Следующий код является примером объекта JSON ресурса аттестации:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Свойство | Description |
|---|---|
policyAssignmentId |
Обязательный идентификатор назначения, для которого устанавливается состояние. |
policyDefinitionReferenceId |
Необязательный идентификатор ссылки на определение, если в рамках инициативы политики. |
complianceState |
Требуемое состояние ресурсов. Допустимые значения: Compliant, NonCompliant и Unknown. |
expiresOn |
Необязательная дата, в которой состояние соответствия должно вернуться из подтвержденного состояния соответствия в состояние по умолчанию. |
owner |
Необязательный идентификатор объекта Идентификатора Microsoft Entra ответственной стороны. |
comments |
Необязательное описание того, почему устанавливается состояние. |
evidence |
Необязательный массив ссылок на доказательства аттестации. |
assessmentDate |
Дата оценки доказательств. |
metadata |
Необязательные дополнительные сведения об аттестации. |
Так как аттестации являются отдельным ресурсом от назначений политик, они имеют собственный жизненный цикл. Аттестации PUT, GET и DELETE можно использовать с помощью API Azure Resource Manager. Аттестации удаляются при удалении связанного назначения политики вручную или policyDefinitionReferenceId удаления ресурса, уникального для аттестации. Дополнительные сведения см. в справочнике по REST API политики.
Следующие шаги
- основы эффекта Политика Azure определений.
- структура определения инициативы Политика Azure.
- Политика Azure примеры.