دمج Azure Key Vault مع نهج Azure
نهج Azure هو أداة إدارة تمنح المستخدمين القدرة على تدقيق بيئة Azure لديهم وإدارتها على نطاق واسع. يوفر نهج Azure القدرة على وضع حواجز حماية على موارد Azure للتأكد من أنها متوافقة مع قواعد النهج المعينة. وهو يسمح للمستخدمين بإجراء التدقيق والفرض في الوقت الفعلي ومعالجة بيئة Azure لديهم. ستكون نتائج عمليات التدقيق التي يتم إجراؤها بواسطة النهج متاحة للمستخدمين في لوحة معلومات التوافق حيث سيتمكنون من رؤية التنقل لأسفل للموارد والمكونات المتوافقة وغير المتوافقة. لمزيد من المعلومات، يُرجى الرجوع إلى نظرة عامة على خدمة نهج Azure.
مثال على سيناريوهات الاستخدام:
- تريد تحسين الوضع الأمني لشركتك من خلال تنفيذ متطلبات حول الحد الأدنى من أحجام المفاتيح وفترات صلاحية الشهادات القصوى في خزائن المفاتيح الخاصة بشركتك ولكنك لا تعرف الفرق التي ستكون متوافقة وأيها غير متوافق.
- ليس لديك حاليا حل لإجراء تدقيق عبر مؤسستك، أو أنك تجري عمليات تدقيق يدوية للبيئة الخاصة بك من خلال مطالبة الفرق الفردية داخل مؤسستك بالإبلاغ عن امتثالها. أنت تبحث عن طريقة لأتمتة هذه المهمة، وإجراء عمليات التدقيق في الوقت الفعلي، وضمان دقة التدقيق.
- تريد فرض سياسات أمان الشركة لديك ومنع الأفراد من إنشاء شهادات موقعة ذاتياً، ولكن ليست لديك طريقة تلقائية لمنع إنشاءها.
- تريد تخفيف بعض المتطلبات لفِرَق الاختبار لديك، ولكنك تريد الحفاظ على ضوابط صارمة على بيئة الإنتاج لديك. تحتاج إلى طريقة آلية بسيطة لفصل تنفيذ الموارد لديك.
- تريد التأكد من أنه يمكنك التراجع عن تطبيق السياسات الجديدة في حال حدوث مشكلة في موقع مباشر. تحتاج إلى حل بنقرة واحدة لإيقاف تنفيذ النهج.
- أنت تعتمد على حل جهة خارجية لتدقيق بيئتك وتريد استخدام عرض Microsoft داخلي.
أنواع الآثار والتوجيهات المتعلقة بالنهج
عند فرض نهج، يمكنك تحديد تأثيره على التقييم الناتج. يسمح لك كل تعريف نهج باختيار أحد التأثيرات المتعددة. لذلك، قد يتصرف فرض النهج بشكل مختلف اعتمادا على نوع العملية التي تقوم بتقييمها. بشكل عام، تتضمن تأثيرات النهج التي تتكامل مع Key Vault ما يلي:
التدقيق: عند تعيين تأثير النهج على
Audit، لن يتسبب النهج في أي تغييرات فاصلة على البيئة الخاصة بك. سوف ينبهك فقط إلى مكونات مثل الشهادات التي لا تتوافق مع تعريفات النهج ضمن نطاق محدد، من خلال وضع علامة على هذه المكونات على أنها غير متوافقة في لوحة معلومات التوافق مع النهج. يُحدّد التدقيق افتراضيا إذا لم يتم تحديد أي تأثير للنهج.الرفض: عند تعيين تأثير النهج على
Deny، سيمنع النهج إنشاء مكونات جديدة مثل الشهادات بالإضافة إلى حظر الإصدارات الجديدة من المكونات الموجودة التي لا تتوافق مع تعريف النهج. لا تتأثر الموارد الحالية غير المتوافقة داخل خزنة المفاتيح. وستستمر قدرات "التدقيق" في العمل.معطل: عند تعيين تأثير النهج على
Disabled، سيستمر تقييم النهج ولكن لن يسري التنفيذ، وبالتالي يكون متوافقا مع الشرط ذيDisabledالتأثير. هذا مفيد لتعطيل النهج لشرط معين بدلا من جميع الشروط.تعديل: عند تعيين تأثير نهج إلى
Modify، يمكنك تنفيذ إضافة علامات الموارد، مثل إضافة العلامةDenyإلى شبكة اتصال. هذا مفيد لتعطيل الوصول إلى شبكة عامة ل HSM المدار من Azure Key Vault. من الضروري تكوين هوية إدارة لتعريف النهج عبر المعلمةroleDefinitionIdsللاستفادة منModifyالتأثير.DeployIfNotExists: عند تعيين تأثير نهج إلى
DeployIfNotExists، يتم تنفيذ قالب توزيع عند استيفاء الشرط. يمكن استخدام هذا لتكوين إعدادات التشخيص ل Key Vault لتسجيل مساحة عمل التحليلات. من الضروري تكوين هوية إدارة لتعريف النهج عبر المعلمةroleDefinitionIdsللاستفادة منDeployIfNotExistsالتأثير.AuditIfNotExists: عند تعيين تأثير النهج إلى
AuditIfNotExists، يمكنك تحديد الموارد التي تفتقر إلى الخصائص المحددة في تفاصيل شرط النهج. هذا مفيد لتحديد خزائن المفاتيح التي لم يتم تمكين سجلات الموارد فيها. من الضروري تكوين هوية إدارة لتعريف النهج عبر المعلمةroleDefinitionIdsللاستفادة منDeployIfNotExistsالتأثير.
تعريفات النهج المضمنة المتوفرة
تسهل النهج المحددة مسبقا، والمشار إليها باسم "المضمنات"، الحوكمة على خزائن المفاتيح الخاصة بك حتى لا تضطر إلى كتابة نهج مخصصة بتنسيق JSON لفرض القواعد شائعة الاستخدام المرتبطة بأفضل ممارسات الأمان. على الرغم من أن المضمنات محددة مسبقا، تتطلب منك بعض النهج تحديد المعلمات. على سبيل المثال، من خلال تحديد تأثير النهج، يمكنك تدقيق مخزن المفاتيح وعناصره قبل فرض عملية رفض لمنع الانقطاعات. يتم تصنيف المضمنات الحالية ل Azure Key Vault في أربع مجموعات رئيسية: key vault والشهادات والمفاتيح وإدارة البيانات السرية. ضمن كل فئة، يتم تجميع النهج نحو تحقيق أهداف أمنية محددة.
Key Vaults
التحكم في الوصول
باستخدام خدمة Azure Policy، يمكنك التحكم في الترحيل إلى نموذج إذن RBAC عبر خزائنك. تعرف على المزيد في الترحيل من نهج الوصول إلى المخزن إلى نموذج إذن التحكم في الوصول المستند إلى الدور في Azure
| النهج | التأثيرات |
|---|---|
| يجب أن يستخدم Azure Key Vault نموذج إذن التحكم في الوصول استنادا إلى الدور | التدقيق (افتراضي)، رفض، معطل |
الوصول إلى الشبكة
تقليل مخاطر تسرب البيانات عن طريق تقييد الوصول إلى الشبكة العامة، وتمكين اتصالات Azure Private Link ، وإنشاء مناطق DNS خاصة لتجاوز دقة DNS لنقطة نهاية خاصة، وتمكين حماية جدار الحماية بحيث لا يمكن الوصول إلى مخزن المفاتيح افتراضيا لأي IP عام.
| النهج | التأثيرات |
|---|---|
| يجب أن يعطل Azure Key Vault الوصول إلى الشبكة العامة | التدقيق (افتراضي)، رفض، معطل |
| [معاينة] يجب أن يعطل Azure Key Vault Managed HSM الوصول إلى الشبكة العامة | التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: تكوين HSMs المدارة في Key Vault لتعطيل الوصول إلى الشبكة العامة | تعديل (افتراضي)، معطل |
| [معاينة]: يجب أن تستخدم Azure Key Vaults رابطا خاصا | التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: يجب أن تستخدم HSMs المدارة في Azure Key Vault رابطا خاصا | التدقيق (افتراضي)، معطل |
| [معاينة]: تكوين Azure Key Vaults مع نقاط النهاية الخاصة | DeployIfNotExists (افتراضي)، معطل |
| [معاينة]: تكوين Azure Key Vault Managed HSM مع نقاط النهاية الخاصة | DeployIfNotExists (افتراضي)، معطل |
| [معاينة]: تكوين Azure Key Vaults لاستخدام مناطق DNS الخاصة | DeployIfNotExists (افتراضي)، معطل |
| يجب تمكين جدار الحماية في Key Vaults | التدقيق (افتراضي)، رفض، معطل |
| تكوين Key Vaults لتمكين جدار الحماية | تعديل (افتراضي)، معطل |
حماية الحذف
منع فقدان البيانات الدائم لمخزن المفاتيح الخاص بك وعناصره عن طريق تمكين الحماية من الحذف المبدئي والإزالة. بينما يسمح لك الحذف المبدئي باسترداد خزنة مفاتيح محذوفة عن طريق الخطأ لفترة استبقاء قابلة للتكوين، تحميك الحماية من الهجمات الداخلية عن طريق فرض فترة استبقاء إلزامية لمخازن المفاتيح المحذوفة مبدئيا. لا يمكن تمكين الحماية من المسح إلا بعد تمكين الحذف المبدئي. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة.
| النهج | التأثيرات |
|---|---|
| يجب تمكين الحذف المبدئي ل Key Vaults | التدقيق (افتراضي)، رفض، معطل |
| يجب تمكين الحماية من التطهير في Key Vaults | التدقيق (افتراضي)، رفض، معطل |
| يجب تمكين الحماية من الحذف النهائي في Azure Key Vault Managed HSM | التدقيق (افتراضي)، رفض، معطل |
التشخيصات
قم بتمكين سجلات الموارد لإعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق شبكتك.
| النهج | التأثيرات |
|---|---|
| نشر إعدادات التشخيص ل Key Vaults إلى Event Hub | DeployIfNotExists (افتراضي) |
| النشر - تكوين إعدادات التشخيص ل Key Vault Managed HSMs إلى Event Hub | DeployIfNotExists (افتراضي)، معطل |
| النشر - تكوين إعدادات التشخيص ل Key Vaults إلى مساحة عمل Log Analytics | DeployIfNotExists (افتراضي)، معطل |
| يجب تمكين سجلات الموارد في Key Vaults | AuditIfNotExists (افتراضي)، معطل |
| يجب تمكين سجلات الموارد في HSMs المدارة في Key Vault | AuditIfNotExists (افتراضي)، معطل |
الشهادات
دورة حياة الشهادات
تعزيز استخدام الشهادات قصيرة العمر للتخفيف من الهجمات غير المكشفة، من خلال تقليل الإطار الزمني للأضرار المستمرة وتقليل قيمة الشهادة للمهاجمين. عند تنفيذ الشهادات قصيرة العمر، يوصى بمراقبة تاريخ انتهاء صلاحيتها بانتظام لتجنب الانقطاعات، بحيث يمكن تدويرها بشكل كاف قبل انتهاء الصلاحية. يمكنك أيضا التحكم في إجراء مدة البقاء المحدد للشهادات التي تكون إما ضمن عدد معين من الأيام من انتهاء صلاحيتها أو وصلت إلى نسبة معينة من حياتها القابلة للاستخدام.
| النهج | التأثيرات |
|---|---|
| [معاينة]: يجب أن يكون للشهادات فترة صلاحية قصوى محددة | التأثيرات: التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: يجب ألا تنتهي صلاحية الشهادات خلال عدد الأيام المحدد | التأثيرات: التدقيق (افتراضي)، رفض، معطل |
| يجب أن تحتوي الشهادات على مشغلات الإجراء للفترة الزمنية المحددة | التأثيرات: التدقيق (افتراضي)، رفض، معطل |
إشعار
يوصى بتطبيق نهج انتهاء صلاحية الشهادة عدة مرات مع حدود انتهاء صلاحية مختلفة، على سبيل المثال، عند عتبات 180 و90 و60 و30 يوما.
المرجع المصدق للشهادة
تدقيق أو فرض تحديد مرجع مصدق معين لإصدار شهاداتك إما بالاعتماد على إحدى المراجع المصدقة المتكاملة في Azure Key Vault (Digicert أو GlobalSign)، أو مرجع مصدق غير متكامل من تفضيلاتك. يمكنك أيضا تدقيق أو رفض إنشاء شهادات موقعة ذاتيا.
| النهج | التأثيرات |
|---|---|
| يجب إصدار الشهادات من قبل مرجع مصدق متكامل ومحدد | التدقيق (افتراضي)، رفض، معطل |
| يجب إصدار الشهادات من قبل مرجع مصدق محدد وغير متكامل | التدقيق (افتراضي)، رفض، معطل |
سمات الشهادة
تقييد نوع شهادات خزنة المفاتيح لتكون RSA أو ECC أو HSM مدعومة. إذا كنت تستخدم تشفير المنحنى الناقص أو شهادات ECC، يمكنك تخصيص وتحديد أسماء المنحنيات مثل P-256 وP-256K وP-384 وP-521. إذا كنت تستخدم شهادات RSA، يمكنك اختيار الحد الأدنى لحجم المفتاح لشهاداتك ليكون 2048 بت أو 3072 بت أو 4096 بت.
| النهج | التأثيرات |
|---|---|
| يجب أن تستخدم الشهادات أنواع المفاتيح المسموح بها | التدقيق (افتراضي)، رفض، معطل |
| كان من الواجب أن تسمح الشهادات التي تستخدم تشفير منحنى على شكل قطع ناقص بأسماء المنحنى | التدقيق (افتراضي)، رفض، معطل |
| يجب أن يكون للشهادات التي تستخدم تشفير RSA الحد الأدنى المحدد لحجم المفتاح | التدقيق (افتراضي)، رفض، معطل |
المفاتيح
مفاتيح مدعومة من HSM
HSM هي وحدة أمان الأجهزة التي تخزن المفاتيح. توفر HSM طبقة فعلية من الحماية لمفاتيح التشفير. لا يمكن لمفتاح التشفير ترك HSM فعلي يوفر مستوى أمان أكبر من مفتاح البرنامج. بعض المؤسسات لديها متطلبات توافق تفرض استخدام مفاتيح HSM. يمكنك استخدام هذا النهج لتدقيق أي مفاتيح مخزنة في Key Vault غير مدعومة من HSM. يمكنك أيضا استخدام هذا النهج لمنع إنشاء مفاتيح جديدة غير مدعومة من HSM. سيتم تطبيق هذا النهج على جميع أنواع المفاتيح، بما في ذلك RSA وECC.
| النهج | التأثيرات |
|---|---|
| يجب أن تكون المفاتيح مدعومة بوحدة أمان الأجهزة (HSM) | التدقيق (افتراضي)، رفض، معطل |
دورة حياة المفاتيح
باستخدام المضمنات في إدارة دورة الحياة، يمكنك وضع علامة على المفاتيح التي ليس لها تاريخ انتهاء صلاحية أو حظرها، والحصول على تنبيهات كلما أدى التأخير في تدوير المفاتيح إلى انقطاع، ومنع إنشاء مفاتيح جديدة قريبة من تاريخ انتهاء صلاحيتها، والحد من عمر المفاتيح وحالتها النشطة لدفع دوران المفاتيح، ومنع تنشيط المفاتيح لأكثر من عدد محدد من الأيام.
| النهج | التأثيرات |
|---|---|
| يجب أن يكون للمفاتيح نهج تدوير يضمن جدولة دورانها خلال عدد الأيام المحدد بعد الإنشاء | التدقيق (افتراضي)، معطل |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: يجب أن يكون لمفاتيح HSM المدارة تاريخ انتهاء صلاحية | التدقيق (افتراضي)، رفض، معطل |
| يجب أن يكون للمفاتيح عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault أكثر من عدد الأيام المحدد قبل انتهاء الصلاحية | التدقيق (افتراضي)، رفض، معطل |
| يجب أن يكون للمفاتيح فترة صلاحية قصوى محددة | التدقيق (افتراضي)، رفض، معطل |
| يجب ألا تكون المفاتيح نشطة لفترة أطول من عدد الأيام المحدد | التدقيق (افتراضي)، رفض، معطل |
هام
إذا كان مفتاحك يحتوي على تاريخ تنشيط معين، فسيحسب النهج أعلاه عدد الأيام المنقضية من تاريخ تنشيط المفتاح إلى التاريخ الحالي. إذا تجاوز عدد الأيام الحد الذي قمت بتعيينه، فسيتم وضع علامة على المفتاح بأنه غير متوافق مع النهج. إذا لم يكن مفتاحك يحتوي على تاريخ تنشيط معين، فسيحسب النهج عدد الأيام المنقضية من تاريخ إنشاء المفتاح إلى التاريخ الحالي. إذا تجاوز عدد الأيام الحد الذي قمت بتعيينه، فسيتم وضع علامة على المفتاح بأنه غير متوافق مع النهج.
السمات الرئيسية
تقييد نوع مفاتيح Key Vault لتكون RSA أو ECC أو HSM مدعومة. إذا كنت تستخدم تشفير المنحنى الناقص أو مفاتيح ECC، يمكنك تخصيص وتحديد أسماء المنحنى مثل P-256 وP-256K وP-384 وP-521. إذا كنت تستخدم مفاتيح RSA، يمكنك تفويض استخدام الحد الأدنى لحجم المفتاح للمفاتيح الحالية والجديدة لتكون 2048 بت أو 3072 بت أو 4096 بت. ضع في اعتبارك أن استخدام مفاتيح RSA بأحجام مفاتيح أصغر ليس ممارسة تصميم آمنة، لذلك يوصى بحظر إنشاء مفاتيح جديدة لا تفي بالحد الأدنى لمتطلبات الحجم.
| النهج | التأثيرات |
|---|---|
| يجب أن تكون المفاتيح من النوع المحدد للتشفير RSA أو EC | التدقيق (افتراضي)، رفض، معطل |
| المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة | التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: يجب أن تحتوي مفاتيح HSM المدارة في Azure Key Vault باستخدام تشفير المنحنى الناقص على أسماء المنحنى المحددة | التدقيق (افتراضي)، رفض، معطل |
| يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح | التدقيق (افتراضي)، رفض، معطل |
| [معاينة]: يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault باستخدام تشفير RSA الحد الأدنى المحدد لحجم المفتاح | التدقيق (افتراضي)، رفض، معطل |
الأسرار
دورة حياة الأسرار
باستخدام المضمنات في إدارة دورة الحياة، يمكنك وضع علامة على الأسرار التي ليس لها تاريخ انتهاء صلاحية أو حظرها، والحصول على تنبيهات كلما أدى التأخير في تدوير البيانات السرية إلى انقطاع، ومنع إنشاء مفاتيح جديدة قريبة من تاريخ انتهاء صلاحيتها، والحد من عمر المفاتيح وحالتها النشطة لدفع دوران المفاتيح، ومنع تنشيط المفاتيح لأكثر من عدد محدد من الأيام.
| النهج | التأثيرات |
|---|---|
| يجب أن يكون للأسرار تاريخ انتهاء صلاحية | التدقيق (افتراضي)، رفض، معطل |
| يجب أن يكون للأسرار عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | التدقيق (افتراضي)، رفض، معطل |
| يجب أن تكون للأسرار فترة صلاحية قصوى محددة | التدقيق (افتراضي)، رفض، معطل |
| يجب ألا تكون الأسرار نشطة لفترة أطول من عدد الأيام المحدد | التدقيق (افتراضي)، رفض، معطل |
هام
إذا كان سرك يحتوي على تاريخ تنشيط معين، فسيحسب النهج أعلاه عدد الأيام المنقضية من تاريخ تنشيط السر إلى التاريخ الحالي. إذا تجاوز عدد الأيام الحد الذي قمت بتعيينه، فسيتم وضع علامة على البيانات السرية بأنها غير متوافقة مع النهج. إذا كانت بياناتك السرية لا تحتوي على تاريخ تنشيط، فسيحسب هذا النهج عدد الأيام المنقضية من تاريخ إنشاء البيانات السرية إلى التاريخ الحالي. إذا تجاوز عدد الأيام الحد الذي قمت بتعيينه، فسيتم وضع علامة على البيانات السرية بأنها غير متوافقة مع النهج.
السمات السرية
يمكن تخزين أي نص عادي أو ملف مشفر كبيانات سرية لخزنة مفاتيح Azure. ومع ذلك، قد ترغب المؤسسة في تعيين نهج استدارة وقيود مختلفة على كلمات المرور أو سلاسل الاتصال أو الشهادات المخزنة كمفاتيح. يمكن أن تساعد علامة نوع المحتوى المستخدم على رؤية ما يتم تخزينه في كائن سري دون قراءة قيمة السر. يمكنك تدقيق البيانات السرية التي لا تحتوي على مجموعة علامات نوع محتوى أو منع إنشاء أسرار جديدة إذا لم يكن لديها مجموعة علامات نوع محتوى.
| النهج | التأثيرات |
|---|---|
| يجب أن يتم تعيين نوع المحتوى للأسرار | التدقيق (افتراضي)، رفض، معطل |
مثال على أحد السيناريوهات
تدير مخزن مفاتيح تستخدمه فِرَق متعددة يحتوي على 100 شهادة، وتريد التأكد من عدم امتداد صلاحية أيٍّ من الشهادات الموجودة في مخزن المفاتيح لأكثر من عامين.
- تقوم بتعيين نهج يجب أن يكون للشهادات فترة صلاحية قصوى محددة، وتحديد أن فترة الصلاحية القصوى للشهادة هي 24 شهرا، وتعيين تأثير النهج إلى "التدقيق".
- ثم تستعرض تقرير التوافق في مدخل Azure، وتكتشف أن هناك 20 شهادة غير متوافقة وصالحة لمدة > عامين، وأن الشهادات المتبقية متوافقة.
- يمكنك الاتصال بمالكي هذه الشهادات وإبلاغ متطلبات الأمان الجديدة بأن الشهادات لا يمكن أن تكون صالحة لأكثر من عامين. واستجابت بعض الفِرَق وتم تجديد 15 شهادة بحد أقصى لفترة صلاحية مدتها سنتان أو أقل. لا تستجيب الفرق الأخرى، ولا يزال لديك 5 شهادات غير متوافقة في مخزن المفاتيح الخاص بك.
- تُغيّر تأثير النهج الذي قمت بتعيينه إلى "رفض". لا يتم إبطال الشهادات غير المتوافقة ال 5، وتستمر في العمل. ومع ذلك، لا يمكن تجديدها مع فترة صلاحية أكبر من عامين.
تمكين نهج مخزن المفاتيح وإدارته من خلال مدخل Microsoft Azure
تحديد تعريف للنهج
سجّل الدخول إلى مدخل Azure.
ابحث عن "نهج" في شريط البحث وحدد النهج.
في نافذة النهج، حدد "Definitions".
في عامل تصفية الفئة، قم بإلغاء تحديد "Select All" ثم حدد "Key Vault".
الآن يجب أن تكون قادرا على رؤية جميع النُهُج المتاحة للمعاينة العامة، لـ Azure Key Vault. تأكد من قراءة قسم إرشادات النهج أعلاه وفهمه وحدد نهجاً تريد تعيينها لنطاق.
تعيين نهج إلى نطاق
حدد نهجا ترغب في تطبيقه، في هذا المثال، يظهر نهج إدارة فترة صلاحية الشهادة. انقر فوق الزر تعيين في الزاوية العلوية اليسرى.
حدد الاشتراك الذي تريد تطبيق النهج فيه. يمكنك اختيار تقييد النطاق بمجموعة موارد واحدة فقط ضمن اشتراك. إذا كنت تريد تطبيق النهج على الاشتراك بأكمله واستبعاد بعض مجموعات الموارد، يمكنك أيضاً تكوين قائمة استبعاد. عيّن مُحدّد تطبيق النهج إلى Enabled إذا كنت تود حدوث تأثير النهج (التدقيق أو الرفض) أو Disabled لإيقاف التأثير (التدقيق أو الرفض).
انقر على علامة تبويب المعلمات في أعلى الشاشة لتحديد الحد الأقصى لفترة الصلاحية بالأشهر التي تريدها. إذا كنت بحاجة إلى إدخال المعلمات، فيمكنك إلغاء تحديد خيار "عرض المعلمات التي تحتاج إلى إدخال أو مراجعة فقط". حدد "audit" أو "deny" لتأثير النهج باتباع التوجيهات الواردة في الأقسام أعلاه. ثم حدد زر مراجعة + إنشاء.
عرض نتائج التوافق
عد إلى نافذة السياسة وحدد علامة التبويب التوافق. انقر فوق تعيين النهج الذي ترغب في عرض نتائج التوافق الخاصة به.
من هذه الصفحة يمكنك تصفية النتائج بواسطة مخازن متوافقة أو غير متوافقة. هنا يمكنك مشاهدة قائمة بمخازن المفاتيح غير المتوافقة ضمن نطاق تعيين النهج. يُعدّ المخزن غير متوافق إذا كان أي من المكونات (الشهادات) في المخزن غير متوافق. يمكنك تحديد مخزن فردي لعرض المكونات الفردية غير المتوافقة (الشهادات).
عرض اسم المكونات داخل مخزن غير متوافق
إذا كنت بحاجة إلى التحقق مما إذا كان المستخدمون قد حرموا من القدرة على إنشاء موارد داخل مخزن المفاتيح، يمكنك النقر فوق علامة التبويب أحداث المكون (معاينة) لعرض ملخص لعمليات الشهادة المرفوضة مع الطالب والطوابع الزمنية للطلبات.
قيود الميزة
قد يستغرق تعيين نهج له تأثير "الرفض" ما يصل إلى 30 دقيقة (الحالة المتوسطة) وساعة واحدة (أسوأ الحالات) للبدء في رفض إنشاء موارد غير متوافقة. يشير التأخير إلى السيناريوهات التالية -
- يتم تعيين نهج جديد.
- يتم تعديل تعيين نهج موجود.
- يتم إنشاء KeyVault (مورد) جديد في نطاق مع النهج الموجودة.
قد يستغرق تقييم السياسة للمكونات الموجودة في المخزن ما يصل إلى ساعة واحدة (الحالة المتوسطة) وساعتين (أسوأ الحالات) قبل أن تكون نتائج التوافق قابلة للعرض في واجهة المستخدم للمدخل.
إذا ظهرت نتائج التوافق على أنها "لم تبدأ" فقد يرجع ذلك إلى الأسباب التالية:
- لم يكتمل تقييم النهج بعد. قد يستغرق زمن انتقال التقييم الأوَّلي ساعتين في أسوأ سيناريو.
- لا توجد مخازن مفاتيح في نطاق تعيين النهج.
- لا توجد مخازن مفاتيح مع شهادات ضمن نطاق تعيين النهج.
إشعار
توفر أوضاع موفر موارد نهج Azure ، مثل أوضاع Azure Key Vault، معلومات حول التوافق في صفحة توافق المكونات.
الخطوات التالية
- تسجيل الدخول والأسئلة المتداولة حول نهج Azure ل Key Vault
- تعرف على المزيد حول خدمة نهج Azure
- راجع عينات Key Vault: تعريفات النهج المدمج في Key Vault
- تعرف على معيار أمان السحابة من Microsoft على Key Vault