Řešení potíží s implementací zásad Azure na Key Vault
Tento článek vás provede řešením obecných chyb, ke kterým může dojít při nastavení Azure Policy pro Key Vault, a navrhne způsoby, jak je vyřešit.
Informace o službě Azure Policy pro Key Vault
Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat své prostředí Azure ve velkém měřítku. Azure Policy umožňuje umístit na prostředky Azure mantinely, abyste měli jistotu, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět audit, vynucování v reálném čase a nápravu jejich prostředí Azure. Výsledky auditů provedených zásadami budou uživatelům k dispozici na řídicím panelu dodržování předpisů, kde uvidí podrobné informace o tom, které prostředky a komponenty jsou kompatibilní a které ne.
protokolování
Pokud chcete monitorovat, jak se vyhodnocení zásad provádí, můžete zkontrolovat protokoly Key Vault. Povolení protokolování pro Azure Key Vault, které ukládá informace do zadaného účtu úložiště Azure. Podrobné pokyny najdete v tématu Povolení protokolování Key Vault.
Když protokolování povolíte, automaticky se vytvoří nový kontejner s názvem AzurePolicyEvaluationDetails , který bude shromažďovat informace o protokolování související se zásadami v zadaném účtu úložiště.
Poznámka
Měli byste přísně regulovat přístup k datům monitorování, zejména k souborům protokolů, protože můžou obsahovat citlivé informace. Přečtěte si o použití integrovaného monitorování role Azure a omezení přístupu.
Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob.
Podívejme se na ukázkovou položku protokolu pro zásadu klíčů: Klíče by měly mít nastavené datum vypršení platnosti. Tato zásada vyhodnocuje všechny klíče ve vašich trezorech klíčů a označí klíče, u kterých není nastavené datum vypršení platnosti jako nedodržování předpisů.
{
"ObjectName": "example",
"ObjectType": "Key",
"IsComplianceCheck": false,
"EvaluationDetails": [
{
"AssignmentId": "<subscription ID>",
"AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"DefinitionId": "<definition ID>",
"DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"Outcome": "NonCompliant",
"ExpressionEvaluationDetails": [
{
"Result": "True",
"Expression": "type",
"ExpressionKind": "Field",
"ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
"TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
"Operator": "Equals"
},
{
"Result": "True",
"Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
"ExpressionKind": "Field",
"ExpressionValue": "******",
"TargetValue": "False",
"Operator": "Exists"
}
]
}
]
}
V následující tabulce jsou uvedeny názvy a popisy polí:
| Název pole | Popis |
|---|---|
| ObjectName | Název objektu |
| ObjectType | Typ objektu trezoru klíčů: certifikát, tajný klíč nebo klíč |
| IsComplianceCheck | True, pokud k vyhodnocení došlo během nočního auditu, false, pokud k vyhodnocení došlo během vytváření nebo aktualizace prostředku |
| Id přiřazení | ID přiřazení zásad |
| AssignmentDisplayName | Popisný název přiřazení zásad |
| Id definice | ID definice zásady pro přiřazení |
| DefiniceDisplayName | Popisný název definice zásady pro přiřazení |
| Výsledek | Výsledek hodnocení politiky |
| ExpressionEvaluationDetails | Podrobnosti o vyhodnoceních provedených během vyhodnocení zásad |
| ExpressionValue | Skutečná hodnota zadaného pole během vyhodnocení zásad |
| Cílová hodnota | Očekávaná hodnota zadaného pole |
Nejčastější dotazy
Key Vault obnovení blokované službou Azure Policy
Jedním z důvodů může být, že vaše předplatné (nebo skupina pro správu) má zásadu, která blokuje obnovení. Opravou je úprava zásad tak, aby se při obnovování trezoru nepoužádá.
Pokud se kvůli předdefinované zásadě zobrazí typ RequestDisallowedByPolicy chyby obnovení, ujistěte se, že používáte nejaktuálnější verzi.
Pokud jste vytvořili vlastní zásadu s vlastní logikou, tady je příklad části zásady, kterou je možné použít k vyžadování obnovitelného odstranění. Obnovení obnovitelného odstraněného trezoru používá stejné rozhraní API jako vytvoření nebo aktualizace trezoru. Místo zadání vlastností trezoru má však jedinou vlastnost createMode s hodnotou "recovery". Trezor se obnoví s vlastnostmi, které měl při odstranění. Zásady, které blokují požadavky, pokud nemají nakonfigurované konkrétní vlastnosti, zablokují také obnovení obnovitelně odstraněných trezorů. Oprava spočívá v tom, že obsahuje klauzuli, která způsobí, že zásady budou ignorovat požadavky, kde createMode je "recovery":
Uvidíte, že obsahuje klauzuli, která způsobí, že se zásada použije pouze v případech, kdy se createMode nerovná "obnovení":
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.KeyVault/vaults"
},
{
"not": {
"field": "Microsoft.Keyvault/vaults/createMode",
"equals": "recover"
}
},
{
"anyOf": [
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"exists": "false"
},
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"equals": "false"
}
]
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
Latence při odstranění přiřazení zásad Azure při Key Vault
Microsoft.KeyVault.Data: Odstranění přiřazení zásad může trvat až 24 hodin, než se přestane vynucovat.
Zmírnění rizik: Aktualizujte účinek přiřazení zásad na Zakázáno.
Při vytváření tajného kódu prostřednictvím šablony ARM chybí vyhodnocení zásad
Zásady roviny dat, které vyhodnocují vytváření tajných kódů, by se při vytváření tajného kódu nepoužíly na tajné kódy vytvořené prostřednictvím šablony ARM . Po 24 hodinách, kdy proběhne automatizovaná kontrola dodržování předpisů a výsledky dodržování předpisů se dají zkontrolovat.
Další kroky
- Informace o řešení chyb pomocí Azure Policy
- Informace o Azure Policy známých problémech
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro