Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Atestacje są używane przez usługę Azure Policy do ustalania stanów zgodności zasobów lub zakresów objętych zasadami ręcznymi. Umożliwiają one również użytkownikom udostępnianie większej liczby metadanych lub linków do dowodów, które towarzyszą testowanemu stanowi zgodności.
Note
Zaświadczania można tworzyć i zarządzać tylko za pośrednictwem interfejsu API usługi Azure Resource Manager (ARM),programu PowerShell lub interfejsu wiersza polecenia platformy Azure.
Najlepsze rozwiązania
Atestacje mogą służyć do ustawiania stanu zgodności pojedynczego zasobu dla określonej polityki ręcznej. Każdy odpowiedni zasób wymaga jednego zaświadczania na przypisanie zasad ręcznych. Aby ułatwić zarządzanie, zasady ręczne powinny być przeznaczone do określania zakresu definiującego granicę zasobów, których stan zgodności musi być testowany.
Załóżmy na przykład, że organizacja dzieli zespoły według grupy zasobów, a każdy zespół musi potwierdzić opracowywanie procedur obsługi zasobów w ramach tej grupy zasobów. W tym scenariuszu warunki reguły zasad powinny określać, że typ Microsoft.Resources/resourceGroups jest równy. Dzięki temu jedno zaświadczenie jest wymagane dla grupy zasobów, a nie dla każdego pojedynczego zasobu w ramach. Podobnie jeśli organizacja dzieli zespoły według subskrypcji, zasada powinna dotyczyć Microsoft.Resources/subscriptions.
Zazwyczaj dostarczone dowody powinny odpowiadać odpowiednim zakresom struktury organizacyjnej. Ten wzorzec zapobiega konieczności duplikowania dowodów w wielu zaświadczaniach. Takie duplikacje utrudniają zarządzanie zasadami ręcznymi i wskazują, że definicja zasad jest przeznaczona dla nieprawidłowych zasobów.
Przykładowe zaświadczenie
W poniższym przykładzie tworzony jest nowy zasób zaświadczania, który ustawia stan zgodności dla grupy zasobów objętej ręcznym przypisaniem zasad:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Ciało żądania
Poniższy kod to przykładowy obiekt JSON zasobu zaświadczania:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Property | Description |
|---|---|
policyAssignmentId |
Wymagany identyfikator przypisania, dla którego jest ustawiany stan. |
policyDefinitionReferenceId |
Opcjonalny identyfikator odwołania definicji, jeśli w ramach inicjatywy polityki. |
complianceState |
Żądany stan zasobów. Dozwolone wartości to Compliant, NonComplianti Unknown. |
expiresOn |
Opcjonalna data, w której stan zgodności powinien zostać przywrócony ze stanu zgodności ze sprawdzonym stanem zgodności do stanu domyślnego. |
owner |
Opcjonalny identyfikator obiektu Entra ID Microsoftu dla strony odpowiedzialnej. |
comments |
Opcjonalny opis przyczyny ustawiania stanu. |
evidence |
Opcjonalna tablica linków do dowodów zaświadczania. |
assessmentDate |
Data oceny dowodów. |
metadata |
Opcjonalne dodatkowe informacje o zaświadczeniu. |
Ponieważ poświadczenia są oddzielnym zasobem niż przypisania zasad, mają własny cykl życia. Za pomocą interfejsu API usługi Azure Resource Manager można przeprowadzić zaświadczania PUT, GET i DELETE. Zaświadczania są usuwane w przypadku usunięcia powiązanego ręcznego przypisania zasad lub policyDefinitionReferenceId usunięcia zasobu unikatowego dla zaświadczania. Aby uzyskać więcej informacji, przejdź do Dokumentacja interfejsu API REST zasad.