Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Аттестации используются в Azure Policy для задания состояний соответствия ресурсов или областей, на которые нацелены ручные политики. Они также позволяют пользователям предоставлять дополнительные метаданные или ссылаться на доказательства, сопровождающие подтвержденное состояние соответствия.
Примечание.
Аттестации можно создавать и управлять ими только с помощью политики Azure, API Диспетчера ресурсов Azure (ARM), PowerShell или Azure CLI.
Наилучшие практики
Аттестации можно использовать для установления уровня соответствия отдельного ресурса согласно заданной вручную политике. Для каждого применимого ресурса требуется одна аттестация на назначение политики вручную. Чтобы упростить управление, ручные политики должны быть разработаны для целевой области применения, которая устанавливает границы ресурсов, степень соответствия которым необходимо засвидетельствовать.
Например, предположим, что организация делит команды по группам ресурсов, и каждая команда должна подтвердить разработку процедур обработки ресурсов в этой группе ресурсов. В этом сценарии условия правила политики должны указывать, что тип равен Microsoft.Resources/resourceGroups. Таким образом, для группы ресурсов требуется одна аттестация, а не для каждого отдельного ресурса в пределах. Аналогично, если организация разделяет команды по подпискам, правило политики должно быть направлено на Microsoft.Resources/subscriptions.
Как правило, предоставленные доказательства должны соответствовать соответствующим областям организационной структуры. Этот шаблон предотвращает необходимость дублировать доказательства во многих аттестациях. Такие дублирования затрудняют управление политиками вручную и указывают на то, что определение политики нацелено на неправильные ресурсы.
Пример аттестации
В следующем примере создается новый ресурс аттестации, который задает состояние соответствия для группы ресурсов, на которую распространяется вручную назначенное правило политики.
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Текст запроса
Следующий код является примером объекта JSON ресурса аттестации:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Свойство | Описание |
|---|---|
policyAssignmentId |
Обязательный идентификатор задания, для которого устанавливается состояние. |
policyDefinitionReferenceId |
Необязательный идентификатор ссылки на определение, если это часть инициативы в области политики. |
complianceState |
Требуемое состояние ресурсов. Допустимые значения: Compliant, NonCompliant и Unknown. |
expiresOn |
Необязательная дата, в которой состояние соответствия должно вернуться из подтвержденного состояния соответствия в состояние по умолчанию. |
owner |
Необязательный идентификатор объекта Microsoft Entra для ответственной стороны. |
comments |
Необязательное описание того, почему устанавливается состояние. |
evidence |
Необязательный массив ссылок на свидетельства аттестации. |
assessmentDate |
Дата оценки доказательств. |
metadata |
Необязательные дополнительные сведения об аттестации. |
Так как аттестации являются отдельным ресурсом от назначений политик, они имеют собственный жизненный цикл. Вы можете использовать методы PUT, GET и DELETE для управления аттестациями с помощью API Azure Resource Manager. Аттестации удаляются, если удалено связанное ручное назначение политики или policyDefinitionReferenceId, или если удалён ресурс, уникальный для аттестации. Дополнительные сведения см. в справочнике по REST API политики.