Nachweisstruktur von Azure Policy
Nachweise werden von Azure Policy verwendet, um Konformitätszustände von Ressourcen oder Bereichen festzulegen, die von manuellen Richtlinien bestimmt werden. Sie ermöglichen Benutzern auch, zusätzliche Metadaten oder Links zu Beweisen bereitzustellen, die den bestätigten Konformitätszustand begleiten.
Hinweis
Nachweise können nur über die Azure Policy-API Azure Resource Manager (ARM), PowerShell oder die Azure CLI erstellt und verwaltet werden.
Bewährte Methoden
Nachweise können verwendet werden, um den Konformitätszustand einer einzelnen Ressource für eine bestimmte manuelle Richtlinie festzulegen. Jede anwendbare Ressource erfordert pro manueller Richtlinienzuweisung einen Nachweis. Um die Verwaltung zu vereinfachen, müssen manuelle Richtlinien so konzipiert sein, dass sie auf den Bereich ausgerichtet sind, der die Grenze der Ressourcen definiert, deren Konformitätszustand bestätigt werden muss.
Angenommen, eine Organisation teilt Teams nach Ressourcengruppe, und jedes Team muss die Entwicklung von Verfahren zur Behandlung von Ressourcen innerhalb dieser Ressourcengruppe nachweisen. In diesem Szenario muss in den Bedingungen der Richtlinienregeln angegeben sein, dass dieser Typ Microsoft.Resources/resourceGroups entspricht. Auf diese Weise ist eine Bescheinigung für die Ressourcengruppe und nicht für jede einzelne Ressource darin erforderlich. Wenn die Organisation Teams nach Abonnements unterteilt, muss die Richtlinienregel auf Microsoft.Resources/subscriptions ausgerichtet sein.
In der Regel entsprechen die bereitgestellten Nachweise den relevanten Bereichen der Organisationsstruktur. Dieses Muster verhindert, dass Beweise über viele Nachweise hinweg dupliziert werden müssen. Durch solche Duplikate wären manuelle Richtlinien schwierig zu verwalten und ein Anzeichen dafür, dass die Richtliniendefinition auf die falschen Ressourcen ausgerichtet ist.
Beispielnachweis
Nachfolgend finden Sie ein Beispiel für das Erstellen einer neuen Nachweisressource, die den Konformitätszustand für eine Ressourcengruppe festlegt, auf die eine manuelle Richtlinienzuweisung ausgerichtet ist:
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Anforderungstext
Der folgende Code ist ein Beispiel für ein JSON-Objekt für die Nachweisressource:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Eigenschaft | BESCHREIBUNG |
|---|---|
policyAssignmentId |
Erforderliche Zuordnungs-ID, für die der Zustand festgelegt wird. |
policyDefinitionReferenceId |
Optionale Definitionsreferenz-ID, falls innerhalb einer Richtlinieninitiative. |
complianceState |
Gewünschter Status der Ressourcen. Zulässige Werte sind Compliant, NonCompliant und Unknown. |
expiresOn |
Optionales Datum, an dem der Konformitätszustand vom bestätigten Konformitätszustand auf den Standardzustand zurückgesetzt werden soll |
owner |
Optionale Microsoft Entra ID-Objekt-ID der verantwortlichen Partei |
comments |
Optionale Beschreibung, warum der Zustand festgelegt wird. |
evidence |
Optionales Array von Links zu Nachweisen und Beweisen. |
assessmentDate |
Datum, an dem die Beweise bewertet wurden. |
metadata |
Optionale zusätzliche Informationen zu den Nachweisen. |
Da Nachweise eine separate Ressource von Richtlinienzuweisungen sind, verfügen sie über einen eigenen Lebenszyklus. Sie können PUT-, GET- und DELETE-Nachweise mit der Azure Resource Manager-API verwenden. Nachweise werden entfernt, wenn die zugehörige manuelle Richtlinienzuweisung oder policyDefinitionReferenceId gelöscht wird oder eine Ressource gelöscht wird, die für den Nachweis eindeutig ist. Weitere Informationen hierzu finden Sie in der Richtlinien-REST-API-Referenz.