Sdílet prostřednictvím


Řešení potíží s implementací zásad Azure na Key Vault

Tento článek vás provede řešením obecných chyb, ke kterým může dojít při nastavení Azure Policy pro Key Vault, a navrhne způsoby, jak je vyřešit.

Informace o službě Azure Policy pro Key Vault

Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat své prostředí Azure ve velkém měřítku. Azure Policy umožňuje umístit na prostředky Azure mantinely, abyste měli jistotu, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět audit, vynucování v reálném čase a nápravu jejich prostředí Azure. Výsledky auditů provedených zásadami budou uživatelům k dispozici na řídicím panelu dodržování předpisů, kde uvidí podrobné informace o tom, které prostředky a komponenty jsou kompatibilní a které ne.

protokolování

Pokud chcete monitorovat, jak se vyhodnocení zásad provádí, můžete zkontrolovat protokoly Key Vault. Povolení protokolování pro Azure Key Vault, které ukládá informace do zadaného účtu úložiště Azure. Podrobné pokyny najdete v tématu Povolení protokolování Key Vault.

Když protokolování povolíte, automaticky se vytvoří nový kontejner s názvem AzurePolicyEvaluationDetails , který bude shromažďovat informace o protokolování související se zásadami v zadaném účtu úložiště.

Poznámka

Měli byste přísně regulovat přístup k datům monitorování, zejména k souborům protokolů, protože můžou obsahovat citlivé informace. Přečtěte si o použití integrovaného monitorování role Azure a omezení přístupu.

Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob.

Podívejme se na ukázkovou položku protokolu pro zásadu klíčů: Klíče by měly mít nastavené datum vypršení platnosti. Tato zásada vyhodnocuje všechny klíče ve vašich trezorech klíčů a označí klíče, u kterých není nastavené datum vypršení platnosti jako nedodržování předpisů.

{
  "ObjectName": "example",
  "ObjectType": "Key",
  "IsComplianceCheck": false,
  "EvaluationDetails": [
    {
      "AssignmentId": "<subscription ID>",
      "AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
      "DefinitionId": "<definition ID>",
      "DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
      "Outcome": "NonCompliant",
      "ExpressionEvaluationDetails": [
        {
          "Result": "True",
          "Expression": "type",
          "ExpressionKind": "Field",
          "ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
          "TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
          "Operator": "Equals"
        },
        {
          "Result": "True",
          "Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
          "ExpressionKind": "Field",
          "ExpressionValue": "******",
          "TargetValue": "False",
          "Operator": "Exists"
        }
      ]
    }
  ]
}

V následující tabulce jsou uvedeny názvy a popisy polí:

Název pole Popis
ObjectName Název objektu
ObjectType Typ objektu trezoru klíčů: certifikát, tajný klíč nebo klíč
IsComplianceCheck True, pokud k vyhodnocení došlo během nočního auditu, false, pokud k vyhodnocení došlo během vytváření nebo aktualizace prostředku
Id přiřazení ID přiřazení zásad
AssignmentDisplayName Popisný název přiřazení zásad
Id definice ID definice zásady pro přiřazení
DefiniceDisplayName Popisný název definice zásady pro přiřazení
Výsledek Výsledek hodnocení politiky
ExpressionEvaluationDetails Podrobnosti o vyhodnoceních provedených během vyhodnocení zásad
ExpressionValue Skutečná hodnota zadaného pole během vyhodnocení zásad
Cílová hodnota Očekávaná hodnota zadaného pole

Nejčastější dotazy

Key Vault obnovení blokované službou Azure Policy

Jedním z důvodů může být, že vaše předplatné (nebo skupina pro správu) má zásadu, která blokuje obnovení. Opravou je úprava zásad tak, aby se při obnovování trezoru nepoužádá.

Pokud se kvůli předdefinované zásadě zobrazí typ RequestDisallowedByPolicy chyby obnovení, ujistěte se, že používáte nejaktuálnější verzi.

Pokud jste vytvořili vlastní zásadu s vlastní logikou, tady je příklad části zásady, kterou je možné použít k vyžadování obnovitelného odstranění. Obnovení obnovitelného odstraněného trezoru používá stejné rozhraní API jako vytvoření nebo aktualizace trezoru. Místo zadání vlastností trezoru má však jedinou vlastnost createMode s hodnotou "recovery". Trezor se obnoví s vlastnostmi, které měl při odstranění. Zásady, které blokují požadavky, pokud nemají nakonfigurované konkrétní vlastnosti, zablokují také obnovení obnovitelně odstraněných trezorů. Oprava spočívá v tom, že obsahuje klauzuli, která způsobí, že zásady budou ignorovat požadavky, kde createMode je "recovery":

Uvidíte, že obsahuje klauzuli, která způsobí, že se zásada použije pouze v případech, kdy se createMode nerovná "obnovení":


    "policyRule": { 
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.KeyVault/vaults"
          }, 
          {
            "not": {
              "field": "Microsoft.Keyvault/vaults/createMode",
              "equals": "recover"
            }
          },
          {
            "anyOf": [
              {
                "field": "Microsoft.KeyVault/vaults/enableSoftDelete",
                "exists": "false"
              },
              {
                "field": "Microsoft.KeyVault/vaults/enableSoftDelete",
                "equals": "false"
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]"
      }
    }

Latence při odstranění přiřazení zásad Azure při Key Vault

Microsoft.KeyVault.Data: Odstranění přiřazení zásad může trvat až 24 hodin, než se přestane vynucovat.

Zmírnění rizik: Aktualizujte účinek přiřazení zásad na Zakázáno.

Při vytváření tajného kódu prostřednictvím šablony ARM chybí vyhodnocení zásad

Zásady roviny dat, které vyhodnocují vytváření tajných kódů, by se při vytváření tajného kódu nepoužíly na tajné kódy vytvořené prostřednictvím šablony ARM . Po 24 hodinách, kdy proběhne automatizovaná kontrola dodržování předpisů a výsledky dodržování předpisů se dají zkontrolovat.

Další kroky