Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Policy egy olyan szabályozási eszköz, amely lehetővé teszi a felhasználóknak, hogy nagy léptékben auditálják és kezeljék Azure környezetüket, védőkorlátokat helyezve el az Azure erőforrásain, hogy megfeleljenek a hozzárendelt szabályzatszabályoknak. Lehetővé teszi a felhasználók számára az Azure-környezet ellenőrzését, valós idejű érvényesítését és helyreállítását. A szabályzat által végrehajtott auditok eredményei egy megfelelőségi irányítópulton érhetők el a felhasználók számára, ahol megtekinthetik, hogy mely erőforrások és összetevők megfelelőek, és melyek nem. További információért lásd az Azure Policy szolgáltatás áttekintése oldalt.
Néhány alkalmazási példa:
- A vállalat biztonsági helyzetének javítása érdekében a minimális kulcsméretekre és a tanúsítványok maximális érvényességi időtartamára vonatkozó követelményeket kell bevezetnie a vállalat kulcstartóiban, de nem tudja, hogy mely csapatok lesznek megfelelőek, és melyek nem.
- Jelenleg nem rendelkezik megoldással a szervezeten belüli naplózás végrehajtására, vagy manuális naplózást végez a környezetében azáltal, hogy megkéri a szervezet egyes csapatait, hogy jelentsék a megfelelőségüket. Szeretné automatizálni ezt a feladatot, valós időben elvégezni az auditokat, és garantálni a naplózás pontosságát.
- Szeretné kikényszeríteni a vállalati biztonsági szabályzatokat, és megakadályozni, hogy az egyének önaláírt tanúsítványokat hozzanak létre, de nincs automatizált módja a létrehozásuk letiltására.
- Szeretne enyhíteni néhány követelményt a tesztelő csapatai számára, de egyúttal szigorúan szabályozni szeretné a működési környezetét. Szüksége van egy egyszerű automatizált módszerre ahhoz, hogy érvényesítse az erőforrásai elkülönítését.
- Győződjön meg arról, hogy visszaállíthatja az új szabályzatok érvényesítését abban az esetben, ha egy éles rendszeri probléma merül fel. A szabályzat kikényszerítésének kikapcsolásához egy kattintásos megoldásra van szüksége.
- Külső megoldásra támaszkodik a környezet naplózásához, és belső Microsoft-ajánlatot szeretne használni.
A szabályzateffektusok típusai és útmutatás
A szabályzatok kényszerítésekor meghatározhatja annak hatását az eredményként kapott értékelésre. Minden szabályzatdefinícióval több effektus közül választhat. Ezért a szabályzatkényszerítés a kiértékelt művelet típusától függően eltérően viselkedhet. A Key Vaulttal integrálható szabályzatok hatásai általában a következők:
Ellenőrzés: ha egy szabályzat hatása be van állítva , a szabályzat nem okoz jelentős változásokat a környezetében. Csak olyan összetevőkre, például tanúsítványokra figyelmezteti, amelyek nem felelnek meg a szabályzatdefinícióknak egy adott hatókörben, ha ezeket az összetevőket nem megfelelőként jelöli meg a szabályzatmegfelelési irányítópulton. A naplózás alapértelmezett, ha nincs házirend-effektus kijelölve.
Megtagadás: amikor egy szabályzat hatása a Deny értékre van állítva, a szabályzat letiltja új összetevők (például tanúsítványok) létrehozását, és megakadályozza olyan új verziók létrehozását a meglévő összetevőkből, amelyek nem felelnek meg a szabályzat meghatározásának. A kulcstáron belüli meglévő nem megfelelő erőforrásokra nincsenek hatások. Az "auditálási" képességek továbbra is működnek.
Letiltva: ha egy szabályzat hatása be van állítva
Disabled, a szabályzat továbbra is kiértékelésre kerül, de a kényszerítés nem lép érvénybe, így a feltételnekDisabledmegfelelő lesz. Ez akkor hasznos, ha letiltja a szabályzatot egy adott feltétel esetében, szemben az összes feltétellel.Módosítás: amikor egy szabályzat hatása
Modifyértékre van állítva, erőforráscímkéket adhat hozzá, például hozzáadhat egy címkét egy hálózathoz. Ez hasznos lehet az Azure Key Vault által felügyelt HSM nyilvános hálózatához való hozzáférés letiltásához. AzModifyeffektus használatához szükséges aroleDefinitionIdsparaméteren keresztül felügyelt identitást konfigurálni a szabályzatdefinícióhoz.DeployIfNotExists: ha egy szabályzat hatása be van állítva
DeployIfNotExists, a rendszer végrehajt egy üzembehelyezési sablont a feltétel teljesülésekor. Ez használható a Key Vault diagnosztikai beállításainak a log analytics-munkaterületre való konfigurálásához. Az effektus használatához be kell állítania egy felügyelt identitást a szabályzatdefinícióhoz aroleDefinitionIdsparaméteren keresztül.AuditIfNotExists: ha a szabályzat hatása úgy van beállítva, azonosíthatja azokat az erőforrásokat, amelyek nem rendelkeznek a szabályzatfeltétel részleteiben megadott tulajdonságokkal. Ez hasznos azoknak a kulcsos boltozatoknak az azonosításához, amelyeknél nincsenek engedélyezve erőforrásnaplók. A hatás használatához a szabályzatdefinícióhoz konfigurálnia kell egy felügyelt identitást a
roleDefinitionIdsparaméteren keresztül.
Elérhető beépített szabályzatdefiníciók
Az előre definiált, úgynevezett "beépített" szabályzatok megkönnyítik a kulcstartók feletti szabályozást, így nem kell egyéni szabályzatokat JSON formátumban írnia az ajánlott biztonsági eljárásokhoz társított gyakran használt szabályok kényszerítéséhez. Annak ellenére, hogy a beépítettek előre vannak meghatározva, bizonyos szabályzatok megkövetelik a paraméterek megadását. Például a szabályzat hatásának meghatározásával ellenőrizheti a kulcstárat és annak objektumait, mielőtt egy megtagadási műveletet végrehajtana a kimaradások elkerülése érdekében. Az Azure Key Vault jelenlegi beépített funkciói négy fő csoportba sorolhatók: kulcstartó, tanúsítványok, kulcsok és titkos kódok kezelése. Az egyes kategóriákon belül a szabályzatok meghatározott biztonsági célokra vannak csoportosítva.
Kulcstartók
Hozzáférés-vezérlés
Az Azure Policy szolgáltatással szabályozhatja az RBAC-engedélymodellre való migrálást a tárolókban. További információ: Migrálás tároló hozzáférési szabályzatból az Azure szerepköralapú hozzáférés-vezérlési engedélymodellbe
| Szabályzat | Ingóságok |
|---|---|
| Az Azure Key Vaultnak RBAC-engedélymodellt kell használnia | Naplózás (alapértelmezett), Megtagadás, Letiltva |
Hálózati hozzáférés
Csökkentse az adatszivárgás kockázatát a nyilvános hálózati hozzáférés korlátozásával, az Azure Private Link-kapcsolatok engedélyezésével, a privát DNS-zónák létrehozásával a privát végpont DNS-feloldásának felülbírálásához, valamint a tűzfalvédelem engedélyezésével, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címekhez.
Törlés elleni védelem
A "soft-delete és törlési védelem" engedélyezésével megakadályozhatja a kulcstartó és objektumai végleges adatvesztését. Bár a helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra, a törlés elleni védelem védelmet nyújt az insider támadások ellen a helyreállíthatóan törölt kulcstartók kötelező megőrzési időszakának kikényszerítésével. A törlés elleni védelem csak akkor engedélyezhető, ha engedélyezve van a helyreállítható törlés. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem tudja kiüríteni a kulcstartókat.
| Szabályzat | Ingóságok |
|---|---|
| A Key Vaultokban engedélyezve kell lennie a helyreállítható törlésnek | Naplózás (alapértelmezett), Megtagadás, Letiltva |
| A Key Vaultok esetében engedélyezni kell az eltávolítás elleni védelmet | Ellenőrzés (Alapértelmezett), Megtagadás, Letiltva |
| Az Azure Key Vault felügyelt HSM-nek engedélyeznie kell a törlés elleni védelmet | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
Diagnosztika
Az erőforrásnaplók engedélyezésével újra létre lehet hozni a vizsgálati célokra használható tevékenységnaplókat biztonsági incidensek vagy a hálózat sérülése esetén.
| Szabályzat | Hatások |
|---|---|
| A Key Vaultok diagnosztikai beállításainak üzembe helyezése az Event Hubsban | DeployIfNotExists (alapértelmezett) |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása a Key Vault által felügyelt HSM-ekhez az Event Hubs szolgáltatáshoz | DeployIfNotExists (alapértelmezett), Letiltva |
| Üzembe helyezés – A Key Vaultok diagnosztikai beállításainak konfigurálása a Log Analytics-munkaterületre | DeployIfNotExists (alapértelmezett), Letiltva |
| A Key Vaultokban engedélyezni kell az erőforrás-naplózást | AuditIfNotExists (alapértelmezett), Letiltva |
| A Key Vault által kezelt HSM-eknél engedélyezni kell az erőforrásnaplókat | AuditIfNotExists (Alapértelmezett), Letiltva |
Diplomák
Tanúsítványok életciklusa
A rövid élettartamú tanúsítványok használatának előmozdítása a nem észlelt támadások enyhítésére a folyamatos károk időkeretének minimalizálásával és a tanúsítvány támadók számára történő értékének csökkentésével. A rövid élettartamú tanúsítványok megvalósításakor ajánlott rendszeresen figyelni a lejárati dátumukat a kimaradások elkerülése érdekében, hogy a lejárat előtt megfelelően elforgathatók legyenek. Az olyan tanúsítványok élettartam-műveletét is szabályozhatja, amelyek a lejáratuktól számított bizonyos számú napon belül vagy a használható élettartamuk bizonyos százalékát elérték.
| Szabályzat | Hatások |
|---|---|
| [Előzetes verzió]: A tanúsítványok érvényességi idejének meg kell felelnie a megadott maximum időtartamnak | Effektusok: Ellenőrzés (alapértelmezett), Megtagadás, Tiltott |
| [Előzetes verzió]: A tanúsítványok nem járnak le a megadott számú napon belül | Hatások: Naplózás (Alapértelmezett), Megtagadás, Kikapcsolva |
| A tanúsítványoknak rendelkezniük kell a megadott élettartam-műveletindítókkal | Effektusok: Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
Feljegyzés
Javasolt a tanúsítvány lejárati szabályzatát többször alkalmazni különböző lejárati küszöbértékekkel, például 180, 90, 60 és 30 napos küszöbértékekkel.
Hitelesítésszolgáltató
Egy adott hitelesítésszolgáltató kiválasztásának ellenőrzése vagy érvényesítése azért, hogy a tanúsítványokat vagy az Azure Key Vault integrált hitelesítésszolgáltatói (Digicert vagy GlobalSign), vagy az Ön által választott nem integrált hitelesítésszolgáltató állítsa ki. Önaláírt tanúsítványok létrehozását is naplózhatja vagy megtagadhatja.
| Szabályzat | Ingóságok |
|---|---|
| A tanúsítványokat a megadott integrált hitelesítésszolgáltatónak kell kiállítania | Audit (alapértelmezett), Megtagadás, Letiltott |
| A tanúsítványokat a megadott nem integrált hitelesítésszolgáltatónak kell kiállítania | Ellenőrzés (Alapértelmezett), Tagadás, Letiltva |
Tanúsítványattribútumok
Korlátozza a kulcstartó tár tanúsítványainak típusát csak RSA, ECC vagy HSM-alapúra. Ha háromliptikus görbe-titkosítást vagy ECC-tanúsítványokat használ, testre szabhatja és kiválaszthatja az olyan görbeneveket, mint a P-256, a P-256K, a P-384 és a P-521. HA RSA-tanúsítványokat használ, a tanúsítványok minimális kulcsmérete 2048 bit, 3072 vagy 4096 bit lehet.
| Szabályzat | Hatások |
|---|---|
| A tanúsítványok engedélyezett kulcstípusokat kell használniuk. | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
| A háromliptikus görbe titkosítását használó tanúsítványoknak engedélyezett görbenevekkel kell rendelkezniük | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
| Az RSA titkosítást használó tanúsítványoknak rendelkezniük kell a meghatározott minimális kulcsmérettel | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
Kulcsok
HSM által támogatott kulcsok
A HSM egy hardveres biztonsági modul, amely kulcsokat tárol. A HSM fizikai védelmi réteget biztosít a titkosítási kulcsokhoz. A titkosítási kulcs nem hagyhatja el a fizikai HSM-et, amely nagyobb biztonságot nyújt, mint egy szoftverkulcs. Egyes szervezeteknél vannak olyan megfelelőségi követelmények, amelyek előírják a HSM-kulcsok használatát. Ezzel a szabályzattal naplózhatja a Key Vaultban tárolt kulcsokat, amelyek nem HSM-alapúak. Ezzel a szabályzattal letilthatja a HSM által nem támogatott új kulcsok létrehozását. Ez a szabályzat az összes kulcstípusra vonatkozik, beleértve az RSA-t és az ECC-t is.
| Szabályzat | Hatások |
|---|---|
| A kulcsokat hardveres biztonsági modulnak (HSM) kell alátámasztania | Ellenőrzés (Alapértelmezett), Tiltás, Letiltva |
Kulcsok életciklusa
Az életciklus-kezelés beépített funkcióival megjelölheti vagy letilthatja azokat a kulcsokat, amelyek nem rendelkeznek lejárati dátummal, riasztásokat kaphat, ha a kulcsváltás késleltetése kimaradáshoz vezethet, megakadályozhatja a lejárati dátumukhoz közel álló új kulcsok létrehozását, korlátozhatja a kulcsok élettartamát és aktív állapotát a kulcsok elforgatásához, és megakadályozhatja, hogy a kulcsok aktívak legyenek a megadott számú napnál hosszabb ideig.
Fontos
Ha a kulcsnak van beállítva aktiválási dátuma, a fenti szabályzat kiszámítja, hány nap telt el a kulcs aktiválási dátumától az aktuális dátumig. Ha a napok száma meghaladja a beállított küszöbértéket, a kulcs nem felel meg a szabályzatnak. Ha a kulcs nem rendelkezik aktiválási dátummal, a szabályzat kiszámítja a kulcs létrehozási dátumától az aktuális dátumig eltelt napok számát. Ha a napok száma meghaladja a beállított küszöbértéket, a kulcs nem felel meg a szabályzatnak.
Kulcsattribútumok
Korlátozza a Key Vault kulcsainak típusát RSA, ECC vagy HSM-alapúra. Ha háromliptikus görbe-titkosítást vagy ECC-kulcsokat használ, testre szabhatja és kiválaszthatja az olyan görbeneveket, mint a P-256, a P-256K, a P-384 és a P-521. RSA-kulcsok használata esetén az aktuális és az új kulcsok minimális méretének 2048, 3072 vagy 4096 bitesnek kell lennie. Ne feledje, hogy a kisebb kulcsméretű RSA-kulcsok használata nem biztonságos tervezési gyakorlat, ezért ajánlott letiltani olyan új kulcsok létrehozását, amelyek nem felelnek meg a minimális méretre vonatkozó követelménynek.
| Szabályzat | Hatások |
|---|---|
| A kulcsoknak meg kell felelniük a megadott RSA vagy EC kriptográfiai típusnak | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
| Elliptikus görbe kriptográfiát használó kulcsoknak a megadott görbék neveivel kell rendelkezniük | Auditálás (alapértelmezett), Megtagadás, Letiltva |
| [Előzetes verzió]: Az Azure Key Vault által kezelt HSM-kulcsoknak elliptikus görbe titkosítással és megadott görbenevekkel kell rendelkezniük | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
| Az RSA titkosítást használó kulcsoknak megadott minimális kulcsmérettel kell rendelkezniük | Ellenőrzés (Alapértelmezett), Elutasítás, Tiltás |
| [Előzetes verzió]: Az Azure Key Vault RSA-titkosítást használó felügyelt HSM-kulcsainak meg kell határozni a minimális kulcsméretet | Naplózás (alapértelmezett), Megtagadás, Letiltva |
Titkos kódok
A titkos kódok életciklusa
Az életciklus-kezelés beépített funkcióival megjelölheti vagy letilthatja a lejárati dátummal nem rendelkező titkos kulcsokat, riasztásokat kaphat, ha a titkos kódok rotálásának késleltetése kimaradáshoz vezethet, megakadályozhatja a lejárati dátumukhoz közeli új kulcsok létrehozását, korlátozhatja a kulcsok élettartamát és aktív állapotát a kulcsok elforgatásához, és megakadályozhatja, hogy a kulcsok aktívak legyenek egy megadott számú napnál hosszabb ideig.
| Szabályzat | Hatások |
|---|---|
| A titkoknak lejárati dátummal kell rendelkezniük | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
| A titkos kódoknak a megadott számú napnál többnek kell lennie a lejárat előtt | Naplózás (alapértelmezett), Megtagadás, Letiltva |
| A titkoknak a megadott maximális érvényességi idővel kell rendelkezniük | Naplózás (alapértelmezett), Megtagadás, Letiltva |
| A titkos kódok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
Fontos
Ha a titkos információnak van beállított aktiválási dátuma, a fenti szabályzat kiszámítja azoknak a napoknak a számát, amelyek a titkos információ aktiválási dátumától az aktuális dátumig elteltek. Ha a napok száma meghaladja a beállított küszöbértéket, a titkos kód nem felel meg a szabályzatnak. Ha a titkos kód nem rendelkezik aktiválási dátummal, ez a szabályzat kiszámítja a titkos kód létrehozási dátumától az aktuális dátumig eltelt napok számát. Ha a napok száma meghaladja a beállított küszöbértéket, a titkos kód nem felel meg a szabályzatnak.
Titkos attribútumok
Bármilyen egyszerű szöveges vagy kódolt fájl tárolható Azure Key Vault-titkos kódként. Előfordulhat azonban, hogy a szervezet különböző rotációs szabályzatokat és korlátozásokat szeretne beállítani a kulcsként tárolt jelszavakra, kapcsolati sztring vagy tanúsítványokra. A tartalomtípus-címkék segíthetnek a felhasználónak a titkos objektumban tárolt adatok megtekintésében a titkos kód értékének olvasása nélkül. Naplózhatja azokat a titkos kulcsokat, amelyek nem rendelkeznek tartalomtípus-címkekészlettel, vagy megakadályozhatja az új titkos kulcsok létrehozását, ha nem rendelkeznek tartalomtípus-címkekészlettel.
| Szabályzat | Hatások |
|---|---|
| A titkos kulcsoknak tartalomtípus-készlettel kell rendelkezniük | Ellenőrzés (alapértelmezett), Megtagadás, Letiltva |
Példaforgatókönyv
Több csapat által használt kulcstartót kezel, amely 100 tanúsítványt tartalmaz, és meg szeretné győződni arról, hogy a kulcstartóban lévő tanúsítványok egyike sem érvényes 2 évnél hosszabb ideig.
- Ön hozzárendeli a Tanúsítványoknak rendelkezniük kell a megadott maximális érvényességi időtartammal szabályzatot, megadja, hogy egy tanúsítvány maximális érvényessége 24 hónap, és a szabályzat hatását "ellenőrzésre" állítja be.
- Megtekintheti a megfelelőségi jelentést az Azure Portalon, és megállapíthatja, hogy 20 tanúsítvány nem megfelelő és 2 évig érvényes > , a többi tanúsítvány pedig megfelelő.
- Lépjen kapcsolatba ezeknek a tanúsítványoknak a tulajdonosaival, és közölje az új biztonsági követelményt, amely szerint a tanúsítványok 2 évnél hosszabb ideig nem lehetnek érvényesek. Egyes csapatok válaszolnak, és a tanúsítványok közül 15-öt megújítottak 2 éves vagy annál rövidebb maximális érvényességi idővel. Más csapatok nem válaszolnak, és továbbra is 5 nem megfelelő tanúsítvány található a kulcstartóban.
- Ön megváltoztatja az 'elutasítás'-ra beállított szabályzat hatását. Az 5 nem megfelelő tanúsítványt nem vonják vissza, és továbbra is működnek. 2 évnél hosszabb érvényességi idővel azonban nem újíthatók meg.
Key Vault-szabályzat engedélyezése és kezelése az Azure Portalon
Szabályzatdefiníció kiválasztása
Jelentkezzen be az Azure Portalra.
Keressen rá a "Szabályzat" kifejezésre a keresősávban, és válassza ki a szabályzatot.
A keresősávot ábrázoló képernyőkép.A Szabályzat ablakban válassza a Definíciók lehetőséget.
A „Definíciók” opciót kiemelő képernyőkép.
A Kategóriaszűrőben törölje az Összes kijelölése jelölőnégyzet jelölését, és válassza a Key Vault lehetőséget.
Képernyőkép, amely a Kategóriaszűrőt és a kiválasztott Key Vault-kategóriát mutatja.
Most már látnia kell a nyilvános előzetes verzióhoz elérhető összes szabályzatot az Azure Key Vaulthoz. Mindenképpen olvassa el és ismerje meg a fenti házirend-útmutató szakaszt, és válasszon ki egy szabályzatot, amelyet hozzá szeretne rendelni egy hatókörhöz.
A Public Preview-hez elérhető szabályzatokat bemutató képernyőkép.
Szabályzat hozzárendelése hatókörhöz
Válasszon ki egy alkalmazni kívánt szabályzatot, ebben a példában a Tanúsítvány érvényességi idejének kezelése házirend jelenik meg. Válassza a hozzárendelés gombot a bal felső sarokban.
Képernyőkép a Tanúsítvány érvényességi idejét kezelő házirendről.Válassza ki azt az előfizetést, amelyben alkalmazni szeretné a szabályzatot. Úgy is dönthet, hogy csak egyetlen erőforráscsoportra korlátozza a hatókört egy előfizetésen belül. Ha a szabályzatot a teljes előfizetésre szeretné alkalmazni, és kizár néhány erőforráscsoportot, konfigurálhat kizárási listát is. Állítsa a házirend kényszerítési választóját Engedélyezve értékre, ha azt szeretné, hogy a házirend hatása (naplózás vagy megtagadás) bekövetkezzen, vagy Letiltva értékre az effektus kikapcsolásához (naplózás vagy megtagadás).
Képernyőkép arról, hogy hol választhatja, hogy a hatókört csak egy előfizetésen belüli egyetlen erőforráscsoportra korlátozza.
Válassza a képernyő tetején található Paraméterek lapon a kívánt hónapok maximális érvényességi időtartamának megadásához. Ha be kell adnia a paramétereket, törölje a jelet a "Csak a bemenetet vagy felülvizsgálatot igénylő paraméterek megjelenítése" jelölőnégyzetből. A fenti szakaszokban található útmutatást követve válassza az auditálást vagy a megtagadás lehetőséget a szabályzat hatásának érdekében. Ezután válassza a véleményezés + létrehozás gombot.
Képernyőkép a Paraméterek lapról, ahol megadhatja a maximális érvényességi időtartamot a kívánt hónapokban.
Megfelelőségi eredmények megtekintése
Lépjen vissza a Szabályzat panelre, és válassza a megfelelőségi lapot. Kattintson arra a szabályzat-hozzárendelésre, amelynek megfelelőségi eredményeit meg szeretné tekinteni.
Képernyőkép a Megfelelőség lapról, ahol kiválaszthatja azt a szabályzat-hozzárendelést, amelynek megfelelőségi eredményeit szeretné megtekinteni.
Ezen az oldalon ellenőrzött vagy nem ellenőrzött tárolók alapján szűrheti a találatokat. Itt láthatja a szabályzat-hozzárendelés hatókörén belül a nem megfelelő kulcstárak listáját. A tároló akkor minősül nem megfelelőnek, ha a tároló bármely összetevője (tanúsítványa) nem megfelelő. Kiválaszthat egy egyéni tárolót, hogy megtekinthesse az egyes nem megfelelő összetevőket (tanúsítványokat).
A nem megfelelő tárolóban lévő összetevők nevének megtekintése
Képernyőkép arról, hogy hol tekintheti meg a nem megfelelő tárolóban lévő összetevők nevét.Ha ellenőriznie kell, hogy a rendszer megtagadja-e a felhasználóktól az erőforrások kulcstartón belüli létrehozását, az Összetevőesemények (előzetes verzió) fülre kattintva megtekintheti a megtagadott tanúsítványműveletek összegzését a kérelmezővel és a kérések időbélyegeivel.
Az Azure Key Vault működésének áttekintése
A szolgáltatás korlátozásai
A "megtagadási" hatással rendelkező szabályzatok hozzárendelése akár 30 percet (átlagos esetet) és 1 órát (legrosszabb esetben) is igénybe vehet a nem megfelelő erőforrások létrehozásának megtagadásához. A késés a következő forgatókönyvekre vonatkozik –
- A rendszer új szabályzatot rendel hozzá.
- A rendszer módosít egy meglévő szabályzat-hozzárendelést.
- Egy új KeyVault (erőforrás) jön létre egy meglévő szabályzatokkal rendelkező hatókörben.
A tárolóban lévő meglévő összetevők szabályzatértékelése akár 1 órát (átlagos eset) és 2 órát (legrosszabb esetben) is igénybe vehet, mielőtt a megfelelőségi eredmények megtekinthetők lesznek a portál felhasználói felületén.
Ha a megfelelőségi eredmények "Nem indulnak el" állapotban jelennek meg, az a következő okok miatt fordulhat elő:
- A szabályzat értékelése még nem fejeződött be. A kezdeti kiértékelési késés a legrosszabb esetben akár 2 órát is igénybe vehet.
- A szabályzat-hozzárendelés hatókörében nincsenek kulcstárak.
- Nincsenek olyan kulcstartók, amelyek tanúsítványokkal rendelkeznek a szabályzat-hozzárendelés hatókörén belül.
Feljegyzés
Az Azure Policy erőforrás-szolgáltatói módjai, például az Azure Key Vaulthoz tartozók, a komponensmegfeleltségi oldalon nyújtanak tájékoztatást a megfelelőségről.
Következő lépések
- Az Azure-szabályzat naplózása és gyakori kérdései a Key Vaulthoz
- Tudjon meg többet az Azure Policy szolgáltatásról
- A Key Vault-minták megtekintése: Key Vault beépített szabályzatdefiníciók
- Tudjon meg többet a Microsoft felhőbiztonsági irányelvekről a Key Vault számára.