Řešení potíží s implementací zásad Azure ve službě Key Vault
Tento článek vás provede řešením obecných chyb, ke kterým může dojít při nastavování služby Azure Policy pro key Vault, a navrhne způsoby jejich řešení.
Informace o zásadách Azure pro Key Vault
Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat své prostředí Azure ve velkém měřítku. Azure Policy umožňuje umístit mantinely do prostředků Azure, aby se zajistilo, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět auditování, vynucování v reálném čase a opravovat jejich prostředí Azure. Výsledky auditů provedených zásadami budou uživatelům k dispozici na řídicím panelu dodržování předpisů, kde uvidí podrobnosti o tom, které prostředky a komponenty jsou kompatibilní a které nejsou.
Protokolování
Pokud chcete monitorovat, jak se provádí vyhodnocení zásad, můžete si projít protokoly služby Key Vault. Povolení protokolování pro Azure Key Vault, které ukládá informace do účtu úložiště Azure, který zadáte. Podrobné pokyny najdete v tématu Povolení protokolování služby Key Vault.
Když povolíte protokolování, automaticky se vytvoří nový kontejner s názvem AzurePolicyEvaluationDetails , který bude shromažďovat informace o protokolování související se zásadami v zadaném účtu úložiště.
Poznámka:
Měli byste přísně regulovat přístup k datům monitorování, zejména k souborům protokolu, protože mohou obsahovat citlivé informace. Přečtěte si o použití integrovaného monitorování role Azure a omezení přístupu.
Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob.
Podívejme se na příklad položky protokolu pro zásadu klíče: Klíče by měly mít nastavené datum vypršení platnosti. Tato zásada vyhodnocuje všechny klíče v trezorech klíčů a klíče příznaků, které nemají nastavené datum vypršení platnosti jako nevyhovující předpisům.
{
"ObjectName": "example",
"ObjectType": "Key",
"IsComplianceCheck": false,
"EvaluationDetails": [
{
"AssignmentId": "<subscription ID>",
"AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"DefinitionId": "<definition ID>",
"DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"Outcome": "NonCompliant",
"ExpressionEvaluationDetails": [
{
"Result": "True",
"Expression": "type",
"ExpressionKind": "Field",
"ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
"TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
"Operator": "Equals"
},
{
"Result": "True",
"Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
"ExpressionKind": "Field",
"ExpressionValue": "******",
"TargetValue": "False",
"Operator": "Exists"
}
]
}
]
}
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Popis |
|---|---|
| Název objektu | Název objektu |
| ObjectType | Typ objektu trezoru klíčů: certifikát, tajný klíč nebo klíč |
| IsComplianceCheck | True if evaluation occurred during nightly audit, false if evaluation occurred during resource creation or update |
| Id přiřazení | ID přiřazení zásady |
| AssignmentDisplayName | Popisný název přiřazení zásady |
| DefinitionId | ID definice zásady pro přiřazení |
| DefinitionDisplayName | Popisný název definice zásady pro přiřazení |
| Výsledek | Výsledek vyhodnocení zásad |
| ExpressionEvaluationDetails | Podrobnosti o vyhodnoceních provedených během vyhodnocení zásad |
| ExpressionValue | Skutečná hodnota zadaného pole během vyhodnocení zásady |
| TargetValue | Očekávaná hodnota zadaného pole |
Nejčastější dotazy
Obnovení služby Key Vault blokované zásadami Azure
Jedním z důvodů může být to, že vaše předplatné (nebo skupina pro správu) má zásadu, která blokuje obnovení. Oprava spočívá v úpravě zásad tak, aby se neplatila při obnovování trezoru.
Pokud se kvůli předdefinované zásadě zobrazí typ RequestDisallowedByPolicy chyby pro obnovení, ujistěte se, že používáte nejnovější verzi.
Pokud jste vytvořili vlastní zásadu s vlastní logikou, tady je příklad části zásad, které je možné použít k vyžadování obnovitelného odstranění. Obnovení obnovitelného odstraněného trezoru používá stejné rozhraní API jako vytvoření nebo aktualizace trezoru. Místo zadávání vlastností trezoru však má jedinou vlastnost createMode s hodnotou "recover". Trezor se obnoví s vlastnostmi, které měl při odstranění. Zásady, které blokují požadavky, pokud nemají nakonfigurované konkrétní vlastnosti, zablokují také obnovení obnovitelně odstraněných trezorů. Oprava spočívá v zahrnutí klauzule, která způsobí, že zásada ignoruje požadavky, kde "createMode" je "recover":
Uvidíte, že má klauzuli, která způsobí, že se zásada použije jenom v případech, kdy se "createMode" nerovná "recover":
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.KeyVault/vaults"
},
{
"not": {
"field": "Microsoft.Keyvault/vaults/createMode",
"equals": "recover"
}
},
{
"anyOf": [
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"exists": "false"
},
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"equals": "false"
}
]
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
Latence při odstranění přiřazení zásad Azure ve službě Key Vault
Microsoft.KeyVault.Data: Vynucení odstraněných zásad může trvat až 24 hodin.
Zmírnění: Aktualizujte účinek přiřazení zásady na „Zakázáno“.
Vytvoření tajného kódu prostřednictvím šablony ARM chybí vyhodnocení zásad
Zásady roviny dat, které vyhodnocují vytváření tajných kódů, by se v době vytváření tajných kódů nepoužitelné u tajných kódů vytvořených prostřednictvím šablony ARM. Po 24 hodinách může dojít k automatické kontrole dodržování předpisů a výsledky dodržování předpisů je možné zkontrolovat.
Další kroky
- Informace o řešení chyb s využitím služby Azure Policy
- Informace o známých problémech se službou Azure Policy