Azure-szabályzat Key Vaulton való implementálásával kapcsolatos problémák elhárítása
Ez a cikk bemutatja, hogyan háríthatja el azOkat az általános hibákat, amelyek a Key Vaulthoz készült Azure Policy beállításakor fordulhatnak elő, és megoldási módszereket javasol.
Tudnivalók a Key Vault azure-szabályzatáról
Az Azure Policy egy szabályozási eszköz, amely lehetővé teszi a felhasználók számára az Azure-környezetek nagy léptékű naplózását és kezelését. Az Azure Policy lehetővé teszi a védőkorlátok Azure-erőforrásokon való elhelyezését, hogy azok megfeleljenek a hozzárendelt szabályzatszabályoknak. Lehetővé teszi a felhasználók számára az Azure-környezet naplózását, valós idejű kikényszerítését és szervizelését. A szabályzat által végrehajtott auditok eredményei elérhetők lesznek a felhasználók számára egy megfelelőségi irányítópulton, ahol megtekinthetik, hogy mely erőforrások és összetevők megfelelőek, és melyek nem.
Naplózás
A szabályzatok kiértékelési módjának figyeléséhez áttekintheti a Key Vault naplóit. Az Azure Key Vault naplózásának engedélyezése, amely egy Ön által megadott Azure-tárfiókban menti az adatokat. Részletes útmutatásért tekintse meg a Key Vault naplózásának engedélyezését ismertető témakört.
Ha engedélyezi a naplózást, a rendszer automatikusan létrehoz egy új, AzurePolicyEvaluationDetails nevű tárolót, amely a szabályzattal kapcsolatos naplózási adatokat gyűjti össze a megadott tárfiókban.
Feljegyzés
Szigorúan szabályoznia kell a figyelési adatokhoz, különösen a naplófájlokhoz való hozzáférést, mivel bizalmas információkat tartalmazhatnak. Ismerje meg az Azure-szerepkörök beépített monitorozásának és a hozzáférés korlátozásának alkalmazását.
Az egyes blobok JSON-blobként, szöveges formában vannak tárolva.
Tekintsünk meg egy példanapló-bejegyzést egy kulcsszabályzathoz: A kulcsoknak lejárati dátummal kell rendelkezniük. Ez a szabályzat kiértékeli a kulcstartókban lévő összes kulcsot, és megjelöli azokat a kulcsokat, amelyek nem rendelkeznek a lejárati dátummal, és nem megfelelőként vannak beállítva.
{
"ObjectName": "example",
"ObjectType": "Key",
"IsComplianceCheck": false,
"EvaluationDetails": [
{
"AssignmentId": "<subscription ID>",
"AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"DefinitionId": "<definition ID>",
"DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"Outcome": "NonCompliant",
"ExpressionEvaluationDetails": [
{
"Result": "True",
"Expression": "type",
"ExpressionKind": "Field",
"ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
"TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
"Operator": "Equals"
},
{
"Result": "True",
"Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
"ExpressionKind": "Field",
"ExpressionValue": "******",
"TargetValue": "False",
"Operator": "Exists"
}
]
}
]
}
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| ObjectName | Az objektum neve |
| ObjectType | A kulcstartó objektumának típusa: tanúsítvány, titkos kód vagy kulcs |
| IsComplianceCheck | Igaz, ha a kiértékelés az éjszakai naplózás során történt, hamis, ha az erőforrás létrehozása vagy frissítése során kiértékelés történt |
| Hozzárendelésazonosító | A szabályzat-hozzárendelés azonosítója |
| AssignmentDisplayName | A szabályzat-hozzárendelés rövid neve |
| Definícióazonosító | A hozzárendelés szabályzatdefiníciójának azonosítója |
| DefinitionDisplayName | A hozzárendelés szabályzatdefiníciójának rövid neve |
| Eredmény | A szabályzat kiértékelésének eredménye |
| ExpressionEvaluationDetails | A szabályzat kiértékelése során végrehajtott értékelések részletei |
| ExpressionValue | A megadott mező tényleges értéke a szabályzat kiértékelése során |
| TargetValue | A megadott mező várható értéke |
Gyakori kérdések
Az Azure-szabályzat letiltotta a Key Vault helyreállítását
Ennek egyik oka lehet, hogy az előfizetése (vagy felügyeleti csoportja) olyan szabályzattal rendelkezik, amely blokkolja a helyreállítást. A javítás célja, hogy módosítsa a szabályzatot, hogy az ne legyen érvényes a tároló helyreállításakor.
Ha a beépített szabályzat miatt megjelenik a helyreállítás hibatípusaRequestDisallowedByPolicy, győződjön meg arról, hogy a legújabb verziót használja.
Ha saját logikával hozott létre egyéni szabályzatot , az alábbi példában egy olyan szabályzat egy részét mutatjuk be, amely helyreállítható törlést igényel. A helyreállíthatóan törölt tárolók helyreállítása ugyanazt az API-t használja, mint egy tároló létrehozása vagy frissítése. A tároló tulajdonságainak megadása helyett azonban egyetlen "createMode" tulajdonsággal rendelkezik a "recovery" értékkel. A tároló a törléskor bármilyen tulajdonságokkal lesz visszaállítva. A kéréseket letiltó házirendek, ha nincsenek konfigurálva meghatározott tulajdonságokkal, szintén blokkolják a helyreállíthatóan törölt tárolók helyreállítását. A javítás olyan záradékot tartalmaz, amely miatt a szabályzat figyelmen kívül hagyja azokat a kéréseket, amelyeknél a "createMode" a "helyreállítás":
Látni fogja, hogy rendelkezik egy záradékkal, amely miatt a szabályzat csak akkor érvényes, ha a "createMode" nem egyenlő a "helyreállítással":
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.KeyVault/vaults"
},
{
"not": {
"field": "Microsoft.Keyvault/vaults/createMode",
"equals": "recover"
}
},
{
"anyOf": [
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"exists": "false"
},
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"equals": "false"
}
]
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
Késés az Azure-szabályzat-hozzárendelés törlésével kapcsolatban a Key Vaultban
Microsoft.KeyVault.Data: A törölt szabályzat-hozzárendelések kényszerítése akár 24 órát is igénybe vehet.
Kockázatcsökkentés: frissítse a szabályzat-hozzárendelést „Letiltva” értékre.
Titkos kód létrehozása ARM-sablonon keresztül, kihagyva a szabályzat kiértékelését
A titkos kódok létrehozását kiértékelő adatsík-szabályzatok nem alkalmazhatók az ARM-sablonnal létrehozott titkos kódokra a titkos kódok létrehozásakor. 24 óra elteltével, amikor az automatikus megfelelőségi ellenőrzés megtörténik, és a megfelelőségi eredmények áttekinthetők.
Következő lépések
- Útmutató az Azure Policy használatával kapcsolatos hibák elhárításához
- Tudnivalók az Azure Policy ismert problémáiról