Struktura ověření identity pro Azure Policy
Služba Azure Policy používá ověření identity k nastavení stavů dodržování předpisů prostředků nebo oborů, na které cílí ruční zásady. Umožňují také uživatelům poskytovat další metadata nebo odkazovat na důkazy, které doprovází potvrzený stav dodržování předpisů.
Poznámka:
Ověření identity je možné vytvářet a spravovat pouze prostřednictvím rozhraní API Azure Resource Manageru (ARM), PowerShellu nebo Azure CLI.
Osvědčené postupy
Ověření identity se dá použít k nastavení stavu dodržování předpisů jednotlivých prostředků pro danou ruční zásadu. Každý použitelný prostředek vyžaduje jedno ověření na ruční přiřazení zásad. Pro usnadnění správy by měly být ruční zásady navrženy tak, aby cílily na rozsah, který definuje hranice prostředků, jejichž stav dodržování předpisů je potřeba ověřit.
Předpokládejme například, že organizace rozděluje týmy podle skupiny prostředků a každý tým je potřeba k ověření vývoje postupů pro zpracování prostředků v rámci této skupiny prostředků. V tomto scénáři by podmínky pravidla zásady měly určovat, že typ se Microsoft.Resources/resourceGroupsrovná . Tímto způsobem se vyžaduje jedna ověření identity pro skupinu prostředků, nikoli pro každý jednotlivý prostředek v rámci. Podobně platí, že pokud organizace rozdělí týmy podle předplatných, mělo by pravidlo zásad cílit Microsoft.Resources/subscriptions.
Poskytnuté důkazy by obvykle měly odpovídat příslušným rozsahům organizační struktury. Tento model zabraňuje nutnosti duplikovat důkazy napříč mnoha ověřeními. Takové duplikace by ztěžovaly správu ručních zásad a značily, že definice zásady cílí na nesprávné prostředky.
Příklad ověření identity
Následující příklad vytvoří nový prostředek ověření identity, který nastaví stav dodržování předpisů pro skupinu prostředků cílenou ručním přiřazením zásad:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Text požadavku
Následující kód je ukázkový objekt JSON prostředku ověření identity:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Vlastnost | Popis |
|---|---|
policyAssignmentId |
Požadované ID přiřazení, pro které se stav nastavuje. |
policyDefinitionReferenceId |
Id odkazu na volitelnou definici, pokud v rámci iniciativy zásad. |
complianceState |
Požadovaný stav prostředků Povolené hodnoty jsou Compliant, NonComplianta Unknown. |
expiresOn |
Volitelné datum, kdy se má stav dodržování předpisů vrátit z potvrzeného stavu dodržování předpisů do výchozího stavu. |
owner |
Volitelné ID objektu Microsoft Entra ID příslušné strany. |
comments |
Nepovinný popis, proč je nastavený stav. |
evidence |
Volitelné pole odkazů na důkaz o ověření identity. |
assessmentDate |
Datum, kdy byly důkazy posouzeny. |
metadata |
Volitelné další informace o ověření identity. |
Vzhledem k tomu, že ověření identity jsou samostatným prostředkem od přiřazení zásad, mají vlastní životní cyklus. Ověření identity PUT, GET a DELETE můžete použít pomocí rozhraní API Azure Resource Manageru. Ověření identity se odeberou, pokud se odstraní související ruční přiřazení zásad nebo policyDefinitionReferenceId odstranění prostředku jedinečného pro ověření identity. Další informace najdete v referenčních informacích k rozhraní REST API zásad.