Sdílet prostřednictvím

Integrace služby Azure Key Vault se službou Azure Policy

Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat jejich prostředí Azure ve velkém měřítku, což jim umožňuje umístit do prostředků Azure ochranné mantinely, aby zajistili, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět auditování, vynucování v reálném čase a opravovat jejich prostředí Azure. Výsledky auditů provedených zásadami jsou k dispozici uživatelům na řídicím panelu dodržování předpisů, kde můžou zobrazit podrobnosti o tom, které prostředky a komponenty jsou kompatibilní a které nejsou. Pro více informací si přečtěte Přehled služby Azure Policy.

Příkladů scénářů použití:

  • Chcete zlepšit stav zabezpečení vaší společnosti implementací požadavků na minimální velikosti klíčů a maximální dobu platnosti certifikátů v trezorech klíčů vaší společnosti, ale nevíte, které týmy budou vyhovovat a které nebudou.
  • V současné době nemáte řešení pro provádění auditu v rámci vaší organizace nebo provádíte ruční audity vašeho prostředí tak, že požádáte jednotlivé týmy ve vaší organizaci, aby ohlásily dodržování předpisů. Hledáte způsob, jak tento úkol automatizovat, provádět audity v reálném čase a zaručit přesnost auditu.
  • Chcete vynutit zásady zabezpečení vaší společnosti a zabránit jednotlivcům v vytváření certifikátů podepsaných svým držitelem, ale nemáte automatizovaný způsob, jak zablokovat jejich vytváření.
  • Chcete uvolnit některé požadavky pro testovací týmy, ale chcete zachovat úzkou kontrolu nad provozním prostředím. Potřebujete jednoduchý automatizovaný způsob oddělení vynucování prostředků.
  • Chcete mít jistotu, že v případě, že dojde k problému s živým webem, můžete vrátit zpět vynucení nových zásad. K vypnutí vynucení politiky potřebujete řešení na jedno kliknutí.
  • Pro auditování prostředí spoléháte na řešení třetí strany a chcete použít interní nabídku Microsoftu.

Typy účinků politik a doporučení

Při vynucování zásady můžete určit její účinek na výsledné vyhodnocení. Každá definice zásad umožňuje zvolit jeden z více efektů. Vynucení zásad se proto může chovat jinak v závislosti na typu operace, kterou vyhodnocujete. Obecně platí, že účinky zásad, které se integrují se službou Key Vault, zahrnují:

  • Audit: Pokud je účinek zásady nastavený na Audit, zásady nezpůsobí žádné zásadní změny vašeho prostředí. Upozorní vás pouze na komponenty, jako jsou certifikáty, které nevyhovují definicím zásad v rámci zadaného oboru, tím, že tyto komponenty označí jako nekompatibilní na řídicím panelu dodržování zásad. Audit je výchozí, pokud není vybrán žádný účinek zásady.

  • Zamítnutí: Pokud je účinek zásady nastaven na Deny, zásada blokuje vytváření nových komponent (například certifikátů) a blokuje nové verze existujících komponent, které nevyhovují definici zásady. Stávající nekompatibilní prostředky v klíčovém trezoru nejsou dotčeny. Možnosti auditu nadále fungují.

  • Zakázáno: Pokud je účinek zásady nastaven na hodnotu Disabled, zásada bude stále vyhodnocena, ale vynucení se neprojeví, což splňuje podmínku s účinkem Disabled. To je užitečné pro zakázání politiky pro konkrétní podmínku místo všech podmínek.

  • Úprava: Pokud je efekt zásady nastaven na , můžete provádět přidávání značek prostředků, jako je přidání značky do sítě. To je užitečné, když zakážete přístup k veřejné síti pro spravovaný HSM ve službě Azure Key Vault. Je nutné nakonfigurovat spravovanou identitu pro definici zásady pomocí parametru roleDefinitionIds, aby byl využit efekt Modify.

  • DeployIfNotExists: pokud je účinek zásady nastaven na DeployIfNotExists, šablona nasazení se spustí při splnění podmínky. Dá se použít ke konfiguraci nastavení diagnostiky pro Key Vault do pracovního prostoru Log Analytics. Je nutné nakonfigurovat řízenou identitu pro definici politiky prostřednictvím parametru, aby se využil účinek.

  • AuditIfNotExists: pokud je efekt zásady nastaven na AuditIfNotExists, můžete identifikovat prostředky, které nemají vlastnosti zadané v podrobnostech podmínky zásady. To je užitečné k identifikaci trezorů klíčů, které nemají povolené žádné protokoly prostředků. Je nutné nakonfigurovat spravovanou identitu pro definici zásady prostřednictvím parametru roleDefinitionIds, aby byl využit efekt 'Modify'.

Dostupné předdefinované definice zásad

Předem definované zásady označované jako integrované zásady usnadňují zásady správného řízení nad trezory klíčů, abyste nemuseli psát vlastní zásady ve formátu JSON, abyste vynucovali běžně používaná pravidla přidružená k osvědčeným postupům zabezpečení. I když jsou předdefinované, některé zásady vyžadují, abyste definovali parametry. Například definováním efektu zásady můžete před vynucením operace zamítnutí auditovat trezor klíčů a jeho objekty, abyste zabránili výpadkům. Aktuální vestavěné prvky pro Azure Key Vault jsou rozdělené do čtyř hlavních skupin: úložiště klíčů, certifikáty, klíče a správa tajemství. V rámci každé kategorie jsou zásady seskupené směrem k řízení konkrétních cílů zabezpečení.

Trezory klíčů

Řízení přístupu

Pomocí služby Azure Policy můžete řídit migraci na model oprávnění RBAC napříč trezory. Další informace o migraci ze zásad přístupu trezoru k modelu oprávnění řízení přístupu na základě role v Azure

Zásady Účinek
Azure Key Vault by měl používat model oprávnění RBAC. Audit (výchozí), Odepřít, Zakázáno

Síťový přístup

Snižte riziko úniku dat omezením přístupu k veřejné síti, povolením připojení pomocí Azure Private Link, vytvořením privátních zón DNS pro převzetí řešení DNS pro privátní koncový bod a povolením ochrany brány firewall, aby úložiště klíčů nebylo ve výchozím nastavení přístupné pro žádnou veřejnou IP adresu.

Zásady Účinek
Azure Key Vault by měl zakázat přístup k veřejné síti. Audit (výchozí), Odepření, Zakázáno
[Preview] Spravovaný HSM služby Azure Key Vault by měl zakázat přístup k veřejné síti. Audit (výchozí), Zamítnout, Zakázáno
[Preview]: Konfigurace spravovaných HSM služby Key Vault pro zakázání přístupu k veřejné síti Upravit (Výchozí), Zakázáno
[Preview]: Služba Azure Key Vault by měla používat privátní propojení. Audit (výchozí), Odepření, Zakázáno
[Preview]: Spravované HSM služby Azure Key Vault by měly používat privátní propojení. Audit (výchozí), deaktivováno
[Preview]: Konfigurace služby Azure Key Vault s privátními koncovými body DeployIfNotExists (výchozí) zakázáno
Konfigurujte spravované HSM služby Azure Key Vault s privátními koncovými body DeployIfNotExists (výchozí), zakázáno
[Preview]: Konfigurace služby Azure Key Vault pro použití privátních zón DNS DeployIfNotExists (výchozí), zakázáno
Azure Key Vaulty by měly mít zapnutou bránu firewall. Audit (výchozí), Odepřít, Zakázáno
Konfigurace trezorů klíčů pro povolení brány firewall Upravit (Výchozí), Zakázáno

Ochrana proti odstranění

Zabránit trvalé ztrátě dat trezoru klíčů a jeho objektů povolením obnovitelného odstranění a ochrany před vymazáním. I když obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání, ochrana před vymazáním vás chrání před útoky insider tím, že vynucuje povinnou dobu uchovávání pro trezory klíčů obnovitelného odstranění. Ochranu před vymazáním je možné povolit pouze po aktivaci funkce měkkého mazání. Nikdo ve vaší organizaci ani Microsoft nemůže během doby uchovávání obnovitelného odstranění vyprázdnit trezory klíčů.

Zásady Účinek
Trezory klíčů by měly mít povolené měkké odstranění. Audit (výchozí), Odepřít, Zakázáno
Trezory klíčů by měly mít povolenou ochranu před vymazáním. Audit (výchozí), Odepřít, Zakázáno
Spravovaný HSM služby Azure Key Vault by měl mít povolenou ochranu před vymazáním. Audit (výchozí), Odepřít, Zakázáno

Diagnostika

Zprovozněte povolení protokolů prostředků k opětovnému vytvoření tras aktivit, které se mají použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení sítě.

Zásady Účinek
Nasazení nastavení diagnostiky pro službu Key Vault do služby Event Hubs DeployIfNotExists (výchozí)
Nasadit – Nakonfigurovat diagnostická nastavení spravovaných HSM služby Key Vault pro službu Event Hubs DeployIfNotExists (výchozí), zakázáno
Nasazení – Konfigurace nastavení diagnostiky pro Azure Key Vaults do pracovního prostoru Log Analytics DeployIfNotExists (výchozí), zakázáno
Protokoly prostředků v úložištích Key Vault by měly být povolené. AuditIfNotExists (výchozí), deaktivováno
Protokoly prostředků ve spravovaných modulech HSM služby Key Vault by měly být povolené. AuditIfNotExists (výchozí), zakázáno

Certifikáty

Životní cyklus certifikátů

Zvyšte využití krátkodobých certifikátů ke zmírnění nedetekovaných útoků minimalizací časového rámce probíhajícího poškození a snížením hodnoty certifikátu útočníkům. Při implementaci krátkodobých certifikátů se doporučuje pravidelně monitorovat datum vypršení platnosti, aby nedocházelo k výpadkům, aby bylo možné je před vypršením platnosti odpovídajícím způsobem otočit. Můžete také řídit akci životnosti zadanou pro certifikáty, které jsou buď v určitém počtu dnů od jejich vypršení platnosti, nebo dosáhly určitého procenta své doby použitelnosti.

Zásady Účinek
[Preview]: Certifikáty by měly mít zadanou maximální dobu platnosti. Účinky: Audit (Default), Odepření, Zakázáno
[Preview]: Platnost certifikátů by neměla vypršet do zadaného počtu dnů. Účinky: Audit (Výchozí), Odmítnuto, Zakázáno
Certifikáty by měly mít určené akční spouštěče pro jejich životnost. Efekty: Audit (Default), Odepřít, Deaktivováno

Poznámka:

Doporučujeme použít zásady vypršení platnosti certifikátu vícekrát s různými prahovými hodnotami vypršení, například 180denními, 90denními, 60denními a 30denními.

Certifikační autorita

Auditujte nebo vynucujte výběr konkrétní certifikační autority k vydávání certifikátů buď na základě některé z integrovaných certifikačních autorit služby Azure Key Vault (Digicert nebo GlobalSign), nebo neintegrované certifikační autority podle vašich preferencí. Můžete také auditovat nebo odepřít vytváření certifikátů podepsaných svým držitelem.

Zásady Účinek
Certifikáty by měly být vydány specifikovanou integrovanou certifikační autoritou. Audit (Výchozí), Odepřít, Zakázáno
Certifikáty by měly být vydány zadanou neintegrovanou certifikační autoritou. Audit (výchozí), Odmítnout, Zakázáno

Atributy certifikátu

Omezte typ certifikátů vašeho trezoru klíčů tak, aby byly založené na RSA, ECC nebo HSM. Pokud používáte kryptografii se třemi tečkami nebo certifikáty ECC, můžete přizpůsobit a vybrat názvy křivek, jako jsou P-256, P-256K, P-384 a P-521. Pokud používáte certifikáty RSA, můžete zvolit minimální velikost klíče pro certifikáty 2 048 bitů, 3 072 bitů nebo 4 096 bitů.

Zásady Účinek
Certifikáty by měly používat povolené typy klíčů. Audit (výchozí), Odepřeno, Zakázáno
Certifikáty používající kryptografii eliptických křivek by měly mít povolené názvy křivek. Audit (Výchozí), Odepřít, Zakázáno
Certifikáty používající kryptografii RSA by měly mít zadanou minimální velikost klíče. Audit (výchozí), Odepřít, Deaktivováno

Klávesy

Klíče založené na HSM

HSM je modul hardwarového zabezpečení, který ukládá klíče. HSM poskytuje fyzickou vrstvu ochrany kryptografických klíčů. Kryptografický klíč nemůže opustit fyzický HSM, který poskytuje vyšší úroveň zabezpečení než softwarový klíč. Některé organizace mají požadavky na dodržování předpisů, které vyžadují použití klíčů HSM. Pomocí této zásady můžete auditovat všechny klíče uložené ve službě Key Vault, které nejsou zálohované modulem HSM. Tuto zásadu můžete použít také k blokování vytváření nových klíčů, které nejsou zálohované HSM. Tato zásada se bude vztahovat na všechny typy klíčů, včetně RSA a ECC.

Zásady Účinek
Klíče by měly být zabezpečeny modulem hardwarového zabezpečení (HSM). Audit (Výchozí), Odepřít, Zakázáno

Životní cyklus klíčů

Díky vestavěným funkcím správy životního cyklu můžete označit nebo blokovat klíče, které nemají datum vypršení platnosti, dostávat výstrahy pokaždé, když zpoždění při rotaci klíčů může vést k výpadku, zabránit vytváření nových klíčů, které jsou blízko data vypršení platnosti, omezit životnost a aktivní stav klíčů pro podporu rotace klíčů a zabránit tomu, aby klíče byly aktivní déle než stanovený počet dní.

Zásady Účinek
Klíče by měly mít zásadu rotace, která zajistí, že jejich rotace bude naplánována v zadaném počtu dnů po vytvoření. Audit (výchozí), deaktivováno
Klíče služby Key Vault by měly mít datum vypršení platnosti. Audit (výchozí), Odepřít, Zakázáno
[Preview]: Spravované klíče HSM by měly mít datum vypršení platnosti. Audit (Default), Odepřít, Zakázáno
Klíče by měly mít více než zadaný počet dní před vypršením platnosti. Audit (výchozí), Odepřít, Zakázáno
[Preview]: Spravované klíče HSM služby Azure Key Vault by měly mít více než zadaný počet dní před vypršením platnosti. Audit (výchozí), Odepřít, Zakázáno
Klíče by měly mít stanovenou maximální dobu platnosti. Audit (Výchozí), Zamítnout, Deaktivováno
Klíče by neměly být aktivní delší dobu, než je stanovený počet dnů. Audit (výchozí), Odepřít, Zakázáno

Důležité

Pokud má váš klíč datum aktivace nastavené, výše uvedená zásada vypočítá počet dnů, které uplynuly od data aktivace klíče až do aktuálního data. Pokud počet dní překročí nastavenou prahovou hodnotu, klíč se označí jako nevyhovující zásadám. Pokud váš klíč nemá nastavené datum aktivace, politika vypočítá počet dní, které uplynuly od data vytvoření klíče do aktuálního data. Pokud počet dní překročí nastavenou prahovou hodnotu, klíč se označí jako nevyhovující zásadám.

Klíčové atributy

Omezte typ klíčů služby Key Vault na RSA, ECC nebo HSM. Pokud používáte kryptografii se třemi tečkami nebo klíče ECC, můžete přizpůsobit a vybrat názvy křivek, jako jsou P-256, P-256K, P-384 a P-521. Pokud používáte klíče RSA, můžete použít minimální velikost klíče pro aktuální a nové klíče na 2048 bitů, 3072 bitů nebo 4096 bitů. Mějte na paměti, že použití klíčů RSA s menší velikostí klíčů není bezpečným postupem návrhu, proto se doporučuje blokovat vytváření nových klíčů, které nevyhovují požadavkům na minimální velikost.

Zásady Účinek
Klíče by měly být zadaným kryptografickým typem RSA nebo EC. Audit (výchozí), Odepřít, Zakázáno
Klíče používající kryptografii eliptických křivek by měly mít zadané názvy křivek. Audit (výchozí), Odepřít, Zakázáno
[Preview]: Spravované klíče HSM služby Azure Key Vault využívající kryptografii s tři tečkami by měly mít zadané názvy křivek. Audit (výchozí), Odmítnout, Deaktivováno
Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče. Audit (výchozí), Odmítnout, Deaktivováno
[Preview]: Spravované klíče HSM služby Azure Key Vault využívající kryptografii RSA by měly mít zadanou minimální velikost klíče. Audit (výchozí), Odepřít, Zakázáno

Tajné kódy

Životní cyklus tajných kódů

Díky integrovaným funkcím správy životního cyklu můžete označit nebo blokovat tajemství, která nemají datum vypršení platnosti, dostávat výstrahy, kdykoli zpoždění při obměně tajemství může vést k výpadku, zabránit vytváření nových klíčů, které jsou v blízkosti data vypršení platnosti, omezit životnost a aktivní stav klíčů, aby bylo možné usnadnit obměnu klíčů, a zabránit klíčům být aktivní déle než po stanovený počet dní.

Zásady Účinek
Tajnosti by měly mít datum vypršení platnosti. Audit (výchozí), Odepřít, Zakázáno
Tajnosti by měly mít delší období než je stanovený počet dní před vypršením platnosti. Audit (Výchozí), Odepřít, Zakázáno
Tajnosti by měly mít určenou maximální dobu platnosti. Audit (Výchozí nastavení), Odmítnout, Deaktivováno
Tajné kódy by neměly být aktivní déle než zadaný počet dnů. Audit (výchozí), Odepřít, Zakázáno

Důležité

Pokud má vaše tajemství nastavené datum aktivace, výše uvedená zásada vypočítá počet dní, které uplynuly od data aktivace tajemství k aktuálnímu datu. Pokud počet dní překročí nastavenou prahovou hodnotu, tajný klíč se označí jako nevyhovující zásadám. Pokud vaše tajemství nemá nastavené datum aktivace, toto pravidlo vypočítá počet dní, které uplynuly od data vytvoření tajemství do aktuálního dne. Pokud počet dní překročí nastavenou prahovou hodnotu, tajný klíč se označí jako nevyhovující zásadám.

Tajné atributy

Jakýkoli soubor ve formátu prostého textu nebo zakódovaný soubor je možné uložit jako tajný klíč trezoru klíčů Azure. Vaše organizace ale může chtít nastavit různé zásady obměny a omezení hesel, připojovací řetězec nebo certifikátů uložených jako klíče. Značka typu obsahu může uživateli pomoct zjistit, co je uloženo v tajném objektu bez čtení hodnoty tajného klíče. Tajné kódy, které nemají nastavenou značku typu obsahu, můžete auditovat nebo zabránit vytváření nových tajných kódů, pokud nemají nastavenou značku typu obsahu.

Zásady Účinek
Tajné kódy by měly mít nastavený typ obsahu. Audit (výchozí), Odepřít, Zakázáno

Ukázkový scénář

Trezor klíčů používaný více týmy, které obsahují 100 certifikátů, spravujete a chcete mít jistotu, že žádné certifikáty v trezoru klíčů nejsou platné déle než 2 roky.

  1. Zadáte zásadu „Certifikáty by měly mít zadanou maximální dobu platnosti“, určíte, že maximální doba platnosti certifikátu je 24 měsíců, a nastavíte účinek zásady na „audit“.
  2. Zprávu o dodržování předpisů zobrazíte na portálu Azure a zjistíte, že 20 certifikátů nevyhovuje a platí po dobu 2 let, a že zbývající certifikáty jsou vyhovující.
  3. Obraťte se na vlastníky těchto certifikátů a sdělíte nový požadavek na zabezpečení, že certifikáty nemohou být platné déle než 2 roky. Některé týmy reagují a 15 certifikátů bylo obnoveno s maximální dobou platnosti 2 roky nebo méně. Ostatní týmy nereagují a v trezoru klíčů stále máte 5 nevyhovujících certifikátů.
  4. Změníte účinek zásady, kterou jste přiřadili k odepření. 5 nekompatibilních certifikátů se neodvolá a budou dál fungovat. Nelze je však prodloužit o dobu platnosti, která je delší než 2 roky.

Povolení a správa zásad trezoru klíčů prostřednictvím webu Azure Portal

Výběr definice zásady

  1. Přihlaste se k portálu Azure Portal.

  2. Na panelu hledání vyhledejte "Zásady" a vyberte zásadu.

    Screenshot that shows the Search Bar.Snímek obrazovky zobrazující vyhledávací panel

  3. V okně Zásady vyberte Definice.

    Screenshot that highlights the Definitions option.Snímek obrazovky se zvýrazněnou volbou Definice

  4. Ve filtru kategorií zrušte výběr možnosti Vybrat vše a vyberte Key Vault.

    Screenshot that shows the Category Filter and the selected Key Vault category.Snímek obrazovky znázorňující filtr kategorií a vybranou kategorii služby Key Vault

  5. Teď byste měli být schopni zobrazit všechny zásady dostupné pro Verzi Public Preview pro Azure Key Vault. Nezapomeňte si přečíst předchozí část s pokyny k zásadám a vybrat zásadu, kterou chcete přiřadit k oboru.

    Screenshot that shows the policies that are available for Public Preview.Snímek obrazovky znázorňující zásady, které jsou k dispozici pro veřejnou verzi Preview

Přiřazení zásad k oboru

  1. Vyberte zásadu, kterou chcete použít, v tomto příkladu se zobrazí zásada Spravovat období platnosti certifikátu. V levém horním rohu vyberte tlačítko přiřadit.

    Screenshot that shows the Manage Certificate Validity Period policy.Snímek obrazovky, který znázorňuje zásadu řízení doby platnosti certifikátu

  2. Vyberte předplatné, ve kterém chcete zásadu použít. Rozsah můžete omezit jenom na jednu skupinu prostředků v rámci předplatného. Pokud chcete zásadu použít pro celé předplatné a vyloučit některé skupiny prostředků, můžete také nakonfigurovat seznam vyloučení. Pokud chcete, aby došlo k efektu zásady (auditování nebo zamítnutí), nastavte selektor vynucení zásad na povolenou , nebo pokud chcete efekt vypnout (auditovat nebo odepřít).

    Screenshot that shows where you can choose to restrict the scope to only a single resource group within a subscription.Snímek obrazovky, který ukazuje, kde se můžete rozhodnout omezit rozsah pouze na jednu skupinu prostředků v rámci předplatného

  3. Na kartě Parametry v horní části obrazovky určete maximální dobu platnosti v měsících, jak chcete. Pokud potřebujete zadat parametry, můžete zrušit zaškrtnutí políčka Zobrazit pouze parametry, které vyžadují vstup nebo kontrolu. Vyberte audit nebo odepřít pro účinek zásad podle pokynů v předchozích částech. Pak vyberte tlačítko zkontrolovat a vytvořit.

    Snímek obrazovky znázorňující kartu Parametry, kde můžete zadat požadovanou maximální dobu platnosti v měsících.

Zobrazení výsledků dodržování předpisů

  1. Vraťte se do okna Zásady a vyberte kartu Dodržování předpisů. Klikněte na přiřazení zásady, pro které chcete zobrazit výsledky dodržování předpisů.

    Screenshot that shows the Compliance tab where you can select the policy assignment you want to view compliance results for.Snímek obrazovky znázorňující kartu Dodržování předpisů, kde můžete vybrat přiřazení zásad, pro které chcete zobrazit výsledky dodržování předpisů

  2. Na této stránce můžete filtrovat výsledky podle vyhovujících nebo nevyhovujících trezorů. Zde můžete vidět seznam nevyhovujících úložišť klíčů v rámci přiřazených zásad. Trezor se považuje za nevyhovující, pokud některá z komponent (certifikátů) v trezoru nejsou v souladu. Pokud chcete zobrazit jednotlivé nekompatibilní komponenty (certifikáty), můžete vybrat jednotlivé trezory.

  3. Zobrazení názvu komponent v trezoru, které nedodržují předpisy

    Screenshot that shows where you can view the name of the components within a vault that are non-compliant.Snímek obrazovky, který ukazuje, kde můžete zobrazit názvy komponent v trezoru, které nejsou v souladu s předpisy

  4. Pokud potřebujete zkontrolovat, zda uživatelé nemají možnost vytvářet prostředky v rámci trezoru klíčů, můžete kliknout na kartu Události komponentů (náhled) a zobrazit souhrn odepřených operací certifikátů včetně žadatele a časových razítek požadavků.

    Overview of how Azure Key Vault worksPřehled fungování služby Azure Key Vault

Omezení funkce

Přiřazení zásady s efektem "zakázat" může trvat až 30 minut (v průměrném případě) a 1 hodinu (v nejhorším případě), než začne zakazovat vytváření nevyhovujících prostředků. Zpoždění se týká následujících scénářů :

  1. Byla přiřazena nová zásada.
  2. Stávající přiřazení zásad je změněno.
  3. V oboru s existujícími zásadami se vytvoří nová služba KeyVault (prostředek).

Vyhodnocení zásad existujících komponent v trezoru může trvat až 1 hodinu (průměrný případ) a 2 hodiny (nejhorší případ) před zobrazením výsledků dodržování předpisů v uživatelském rozhraní portálu.

Pokud se výsledky dodržování předpisů zobrazí jako Nespustily, může to být z následujících důvodů:

  • Ocenění pojistky ještě nebylo dokončeno. Latence počátečního vyhodnocení může v nejhorším scénáři trvat až 2 hodiny.
  • V oboru přiřazení zásad nejsou žádné trezory klíčů.
  • V rozsahu přiřazení zásad neexistují žádná úložiště klíčů s certifikáty.

Poznámka:

Režimy poskytovatele prostředků služby Azure Policy, jako je například režim pro Azure Key Vault, poskytují informace o dodržování předpisů na stránce Soulad komponent.

Další kroky