Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le attestazioni vengono utilizzate da Azure Policy per impostare gli stati di conformità delle risorse o degli ambiti presi di mira dai criteri manuali. Consentono inoltre agli utenti di fornire più metadati o collegamenti a prove che accompagnano lo stato di conformità attestato.
Nota
Le attestazioni possono essere create e gestite solo tramite Azure Policy, Azure Resource Manager (ARM) API, PowerShell o Azure CLI.
Procedure consigliate
Le attestazioni possono essere usate per impostare lo stato di conformità di una singola risorsa per un determinato criterio manuale. Ogni risorsa applicabile richiede un'attestazione per ogni assegnazione manuale dei criteri. Per semplificare la gestione, i criteri manuali devono essere progettati per definire l'ambito che definisce il limite delle risorse il cui stato di conformità deve essere attestato.
Si supponga, ad esempio, che un'organizzazione suddivide i team in base ai gruppi di risorse e che ogni team sia tenuto ad attestare lo sviluppo di procedure per la gestione delle risorse all'interno di quello specifico gruppo. In questo scenario, le condizioni della regola dei criteri devono specificare che il tipo è uguale a Microsoft.Resources/resourceGroups. In questo modo, è necessaria un'attestazione per il gruppo di risorse, anziché per ogni singola risorsa all'interno. Analogamente, se l'organizzazione divide i team per sottoscrizioni, la regola dei criteri deve avere come destinazione Microsoft.Resources/subscriptions.
In genere, l'evidenza fornita deve corrispondere agli ambiti pertinenti della struttura organizzativa. Questo modello impedisce la necessità di duplicare l'evidenza in più attestazioni. Tali duplicazioni renderebbero difficile gestire i criteri manuali e indicare che la definizione dei criteri è destinata alle risorse sbagliate.
Attestazione di esempio
Nell'esempio seguente, viene creata una nuova risorsa di attestazione che definisce lo stato di conformità per un gruppo di risorse, definito da un'assegnazione manuale dei criteri.
PUT http://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/attestations/{name}?api-version=2019-10-01
Testo della richiesta
Il codice seguente è un oggetto JSON della risorsa di attestazione di esempio:
"properties": {
"policyAssignmentId": "/subscriptions/{subscriptionID}/providers/microsoft.authorization/policyassignments/{assignmentID}",
"policyDefinitionReferenceId": "{definitionReferenceID}",
"complianceState": "Compliant",
"expiresOn": "2023-07-14T00:00:00Z",
"owner": "{AADObjectID}",
"comments": "This subscription has passed a security audit. See attached details for evidence",
"evidence": [
{
"description": "The results of the security audit.",
"sourceUri": "https://gist.github.com/contoso/9573e238762c60166c090ae16b814011"
},
{
"description": "Description of the attached evidence document.",
"sourceUri": "https://contoso.blob.core.windows.net/contoso-container/contoso_file.docx"
},
],
"assessmentDate": "2022-11-14T00:00:00Z",
"metadata": {
"departmentId": "{departmentID}"
}
}
| Proprietà | Descrizione |
|---|---|
policyAssignmentId |
L'ID di assegnazione richiesto per il quale viene impostato lo stato. |
policyDefinitionReferenceId |
ID di riferimento definizione facoltativo, se all'interno di un'iniziativa di politiche. |
complianceState |
Stato desiderato delle risorse. I valori consentiti sono Compliant, NonCompliant e Unknown. |
expiresOn |
Data facoltativa in cui lo stato di conformità dovrebbe passare dallo stato di conformità attestato allo stato predefinito. |
owner |
ID oggetto Microsoft Entra ID facoltativo della parte responsabile. |
comments |
Descrizione facoltativa del motivo per cui viene impostato lo stato. |
evidence |
Matrice facoltativa di collegamenti a prove di attestazione. |
assessmentDate |
Data in cui sono state valutate le prove. |
metadata |
Informazioni aggiuntive facoltative sull'attestazione. |
Poiché le attestazioni sono una risorsa separata dalle assegnazioni di criteri, hanno il proprio ciclo di vita. È possibile aggiungere attestazioni PUT, GET ed DELETE usando l'API di Azure Resource Manager. Le attestazioni vengono rimosse se l'assegnazione manuale dei criteri correlati o policyDefinitionReferenceId viene eliminata, o se viene eliminata una risorsa univoca associata all'attestazione. Per altre informazioni, vedere Informazioni di riferimento sull'API REST dei criteri.