Sdílet prostřednictvím


Řešení potíží s implementací zásad Azure ve službě Key Vault

Tento článek vás provede řešením obecných chyb, ke kterým může dojít při nastavování služby Azure Policy pro key Vault, a navrhne způsoby jejich řešení.

Informace o zásadách Azure pro Key Vault

Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat své prostředí Azure ve velkém měřítku. Azure Policy umožňuje umístit mantinely do prostředků Azure, aby se zajistilo, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět auditování, vynucování v reálném čase a opravovat jejich prostředí Azure. Výsledky auditů provedených zásadami budou uživatelům k dispozici na řídicím panelu dodržování předpisů, kde uvidí podrobnosti o tom, které prostředky a komponenty jsou kompatibilní a které nejsou.

Protokolování

Pokud chcete monitorovat, jak se provádí vyhodnocení zásad, můžete si projít protokoly služby Key Vault. Povolení protokolování pro Azure Key Vault, které ukládá informace do účtu úložiště Azure, který zadáte. Podrobné pokyny najdete v tématu Povolení protokolování služby Key Vault.

Když povolíte protokolování, automaticky se vytvoří nový kontejner s názvem AzurePolicyEvaluationDetails , který bude shromažďovat informace o protokolování související se zásadami v zadaném účtu úložiště.

Poznámka:

Měli byste přísně regulovat přístup k datům monitorování, zejména k souborům protokolu, protože mohou obsahovat citlivé informace. Přečtěte si o použití integrovaného monitorování role Azure a omezení přístupu.

Jednotlivé objekty blob jsou uloženy jako text ve formátu JSON blob.

Podívejme se na příklad položky protokolu pro zásadu klíče: Klíče by měly mít nastavené datum vypršení platnosti. Tato zásada vyhodnocuje všechny klíče v trezorech klíčů a klíče příznaků, které nemají nastavené datum vypršení platnosti jako nevyhovující předpisům.

{
  "ObjectName": "example",
  "ObjectType": "Key",
  "IsComplianceCheck": false,
  "EvaluationDetails": [
    {
      "AssignmentId": "<subscription ID>",
      "AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
      "DefinitionId": "<definition ID>",
      "DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
      "Outcome": "NonCompliant",
      "ExpressionEvaluationDetails": [
        {
          "Result": "True",
          "Expression": "type",
          "ExpressionKind": "Field",
          "ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
          "TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
          "Operator": "Equals"
        },
        {
          "Result": "True",
          "Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
          "ExpressionKind": "Field",
          "ExpressionValue": "******",
          "TargetValue": "False",
          "Operator": "Exists"
        }
      ]
    }
  ]
}

V následující tabulce jsou uvedeny názvy a popisy polí:

Název pole Popis
Název objektu Název objektu
ObjectType Typ objektu trezoru klíčů: certifikát, tajný klíč nebo klíč
IsComplianceCheck True if evaluation occurred during nightly audit, false if evaluation occurred during resource creation or update
Id přiřazení ID přiřazení zásady
AssignmentDisplayName Popisný název přiřazení zásady
DefinitionId ID definice zásady pro přiřazení
DefinitionDisplayName Popisný název definice zásady pro přiřazení
Výsledek Výsledek vyhodnocení zásad
ExpressionEvaluationDetails Podrobnosti o vyhodnoceních provedených během vyhodnocení zásad
ExpressionValue Skutečná hodnota zadaného pole během vyhodnocení zásady
TargetValue Očekávaná hodnota zadaného pole

Nejčastější dotazy

Obnovení služby Key Vault blokované zásadami Azure

Jedním z důvodů může být to, že vaše předplatné (nebo skupina pro správu) má zásadu, která blokuje obnovení. Oprava spočívá v úpravě zásad tak, aby se neplatila při obnovování trezoru.

Pokud se kvůli předdefinované zásadě zobrazí typ RequestDisallowedByPolicy chyby pro obnovení, ujistěte se, že používáte nejnovější verzi.

Pokud jste vytvořili vlastní zásadu s vlastní logikou, tady je příklad části zásad, které je možné použít k vyžadování obnovitelného odstranění. Obnovení obnovitelného odstraněného trezoru používá stejné rozhraní API jako vytvoření nebo aktualizace trezoru. Místo zadávání vlastností trezoru však má jedinou vlastnost createMode s hodnotou "recover". Trezor se obnoví s vlastnostmi, které měl při odstranění. Zásady, které blokují požadavky, pokud nemají nakonfigurované konkrétní vlastnosti, zablokují také obnovení obnovitelně odstraněných trezorů. Oprava spočívá v zahrnutí klauzule, která způsobí, že zásada ignoruje požadavky, kde "createMode" je "recover":

Uvidíte, že má klauzuli, která způsobí, že se zásada použije jenom v případech, kdy se "createMode" nerovná "recover":


    "policyRule": { 
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.KeyVault/vaults"
          }, 
          {
            "not": {
              "field": "Microsoft.Keyvault/vaults/createMode",
              "equals": "recover"
            }
          },
          {
            "anyOf": [
              {
                "field": "Microsoft.KeyVault/vaults/enableSoftDelete",
                "exists": "false"
              },
              {
                "field": "Microsoft.KeyVault/vaults/enableSoftDelete",
                "equals": "false"
              }
            ]
          }
        ]
      },
      "then": {
        "effect": "[parameters('effect')]"
      }
    }

Latence při odstranění přiřazení zásad Azure ve službě Key Vault

Microsoft.KeyVault.Data: Vynucení odstraněných zásad může trvat až 24 hodin.

Zmírnění: Aktualizujte účinek přiřazení zásady na „Zakázáno“.

Vytvoření tajného kódu prostřednictvím šablony ARM chybí vyhodnocení zásad

Zásady roviny dat, které vyhodnocují vytváření tajných kódů, by se v době vytváření tajných kódů nepoužitelné u tajných kódů vytvořených prostřednictvím šablony ARM. Po 24 hodinách může dojít k automatické kontrole dodržování předpisů a výsledky dodržování předpisů je možné zkontrolovat.

Další kroky