Azure Policy과 Key Vault 통합

  • 아티클

Azure Policy는 사용자에게 대규모로 Azure 환경을 감사 및 관리하는 기능을 제공하는 거버넌스 도구입니다. Azure Policy는 할당된 정책 규칙을 준수하도록 Azure 리소스에 가드 레일을 적용하는 기능을 제공합니다. 이를 통해 사용자는 Azure 환경의 감사, 실시간 적용 및 수정을 수행할 수 있습니다. 정책에 의해 수행되는 감사 결과는 규정 준수 대시보드의 사용자가 사용할 수 있으며, 여기에서 어떤 리소스와 구성 요소가 규정을 준수하지 않는지 드릴다운할 수 있습니다. 자세한 내용은 Azure Policy 서비스 개요를 참조하세요.

예제 사용 시나리오:

  • 회사의 키 자격 증명 모음에 있는 인증서의 최소 키 크기와 최대 유효 기간에 대한 요구 사항을 구현하여 회사의 보안 상태를 개선하려고 하지만, 어떤 팀이 규정을 준수하고 어떤 팀이 준수하지 않는지 잘 모릅니다.
  • 현재 조직에서 감사를 수행하기 위한 솔루션이 없거나, 조직 내의 개별 팀에 규정 준수를 보고하도록 요청하여 환경에 대한 수동 감사를 수행하고 있습니다. 이 작업을 자동화하고, 실시간으로 감사를 수행하고, 감사의 정확성을 보장하는 방법을 찾고 있습니다.
  • 회사 보안 정책을 적용하고 개인이 자체 서명된 인증서를 만들 수 없도록 하는 것이 좋습니다. 그러나 사용자의 인증서 만들기를 자동으로 차단하는 방법은 없습니다.
  • 테스트 팀에 대한 몇 가지 요구 사항을 완화하려고 하지만 프로덕션 환경을 엄격히 제어하려고 합니다. 리소스의 적용을 분리하는 간단한 자동화된 방법이 필요합니다.
  • 라이브 사이트 문제가 발생할 경우 새 정책의 적용을 롤백할 수 있는지 확인하려고 할 수 있습니다. 정책 적용을 해제하려면 원클릭 솔루션이 필요합니다.
  • 현재는 타사 솔루션을 사용하여 환경을 감사하고 있으며, 내부 Microsoft 제품을 사용하려고 합니다.

정책 효과 및 지침의 유형

정책을 적용할 때, 정책이 결과 평가에 미치는 효과를 확인할 수 있습니다. 각 정책 정의를 통해 여러 효과 중 하나를 선택할 수 있습니다. 따라서 평가하는 작업 유형에 따라 정책 적용이 다르게 동작할 수 있습니다. 일반적으로 Key Vault와 통합되는 정책의 효과는 다음과 같습니다.

  • Audit: 정책의 효과를 Audit로 설정하면, 정책은 호환성이 손상되는 변경을 시도하지 않습니다. 지정된 범위 내의 정책 정의를 따르지 않는 인증서와 같은 구성 요소만 정책 준수 대시보드에서 비규격으로 표시하여 경고가 발생하도록 합니다. 정책 효과를 선택하지 않은 경우 감사가 기본값입니다.

  • Deny: 정책의 효과를 Deny로 설정하면 정책에서 인증서와 같은 새 구성 요소 생성을 차단하고 정책 정의를 따르지 않는 기존 구성 요소의 새 버전을 차단합니다. 키 자격 증명 모음 내의 기존 비규격 리소스는 영향을 받지 않습니다. '감사' 기능은 계속 작동합니다.

  • Disabled: 정책의 효과를 Disabled로 설정하면 정책 평가는 계속되지만 정책을 적용하지는 않으므로 Disabled 영향이 설정된 조건을 준수합니다. 모든 조건이 아닌 특정 조건에 정책을 사용하지 않도록 설정하는 데 유용합니다.

  • Modify: 정책의 효과를 Modify로 설정하면 네트워크에 Deny 태그를 추가하는 등 리소스 태그를 추가할 수 있습니다. Azure Key Vault 관리되는 HSM에 공용 네트워크 액세스를 사용하지 않도록 설정하는 데 유용합니다. Modify 효과를 활용하려면 roleDefinitionIds 매개 변수를 통해 정책 정의의 관리 ID를 구성해야 합니다.

  • DeployIfNotExists: 정책의 효과를 DeployIfNotExists로 설정하면 조건이 충족될 때 배포 템플릿이 실행됩니다. Key Vault의 진단 설정을 로그 분석 작업 영역으로 구성하는 데 사용할 수 있습니다. DeployIfNotExists 효과를 활용하려면 roleDefinitionIds 매개 변수를 통해 정책 정의의 관리 ID를 구성해야 합니다.

  • AuditIfNotExists: 정책의 효과를 AuditIfNotExists로 설정하면 정책 조건의 세부 정보에 지정된 속성이 없는 리소스를 식별할 수 있습니다. 리소스 로그를 사용하지 않는 키 자격 증명 모음을 식별하는 데 유용합니다. DeployIfNotExists 효과를 활용하려면 roleDefinitionIds 매개 변수를 통해 정책 정의의 관리 ID를 구성해야 합니다.

사용 가능한 기본 제공 정책 정의

'기본 제공'이라고 하는 미리 결정된 정책은 키 자격 증명 모음에 대한 거버넌스를 용이하게 하므로, 모범 보안 사례와 관련하여 일반적으로 사용되는 규칙을 적용하기 위해 JSON 형식으로 사용자 지정 정책을 작성할 필요가 없습니다. 기본 제공 정책이 미리 결정되더라도 특정 정책은 매개 변수를 정의해야 합니다. 예를 들어 정책의 효과를 정의하면 거부 작업을 적용하기 전에 키 자격 증명 모음 및 해당 개체를 감사하여 중단을 방지할 수 있습니다. 현재 Azure Key Vault의 기본 제공 정책은 키 자격 증명 모음, 인증서, 키, 비밀 관리의 네 가지 주요 그룹으로 분류됩니다. 각 범주 내에서 정책은 특정 보안 목표를 추진하는 방향으로 그룹화됩니다.

Key Vault

액세스 제어

Azure Policy 서비스를 사용하면 자격 증명 모음에서 RBAC 권한 모델로의 마이그레이션을 제어할 수 있습니다. 자세한 내용은 자격 증명 모음 액세스 정책에서 Azure 역할 기반 액세스 제어 권한 모델로 마이그레이션을 참조하세요.

정책 효과
Azure Key Vault에서 RBAC 권한 모델을 사용해야 함 Audit(기본값), Deny, Disabled

네트워크 액세스

공용 네트워크 액세스를 제한하고, Azure Private Link 연결을 사용하도록 설정하고, 프라이빗 엔드포인트의 DNS 확인을 재정의하는 프라이빗 DNS 영역을 만들고, 기본적으로 공용 IP에서 키 자격 증명 모음에 액세스할 수 없도록 방화벽 보호를 사용하여 데이터 유출 위험을 줄일 수 있습니다.

정책 효과
Azure Key Vault에서 공용 네트워크 액세스를 사용할 수 없음 Audit(기본값), Deny, Disabled
[미리 보기]: Azure Key Vault 관리되는 HSM에서 공용 네트워크 액세스를 사용할 수 없음 Audit(기본값), Deny, Disabled
[미리 보기]: 공용 네트워크 액세스를 사용하지 않도록 Key Vault 관리되는 HSM 구성 Modify(기본값), Disabled
[미리 보기]: Azure Key Vault에서 프라이빗 링크를 사용해야 함 Audit(기본값), Deny, Disabled
[미리 보기]: Azure Key Vault 관리되는 HSM에서 프라이빗 링크를 사용해야 함 Audit(기본값), Disabled
[미리 보기]: 프라이빗 엔드포인트로 Azure Key Vault 구성 DeployIfNotExists(기본값), Disabled
[미리 보기]: 프라이빗 엔드포인트로 Azure Key Vault 관리되는 HSM 구성 DeployIfNotExists(기본값), Disabled
[미리 보기]: 프라이빗 DNS 영역을 사용하도록 Azure Key Vault 구성 DeployIfNotExists(기본값), Disabled
Azure Key Vault에서 방화벽을 사용해야 함 Audit(기본값), Deny, Disabled
방화벽을 사용하도록 키 자격 증명 모음 구성 Modify(기본값), Disabled

삭제 방지

일시 삭제 및 제거 보호를 사용하도록 설정하여 키 자격 증명 모음과 해당 개체의 영구적인 데이터 손실을 방지해야 합니다. 일시 삭제는 구성 가능한 보존 기간 동안 실수로 삭제된 키 자격 증명 모음을 복구할 수 있는 반면, 제거 보호는 일시 삭제된 키 자격 증명 모음에 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 제거 보호를 사용 설정하려면 먼저 일시 삭제를 사용하도록 설정해야 합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다.

정책 효과
키 자격 증명 모음은 일시 삭제를 사용하도록 설정되어야 함 Audit(기본값), Deny, Disabled
Key Vault에서 삭제 보호를 사용하도록 설정해야 함 Audit(기본값), Deny, Disabled
Azure Key Vault 관리되는 HSM에 제거 방지를 사용하도록 설정해야 함 Audit(기본값), Deny, Disabled

진단

리소스 로그를 사용하도록 설정하면 보안 인시던트가 발생하거나 네트워크가 손상될 때 조사 목적으로 사용할 활동 추적 기록을 다시 만들 수 있습니다.

정책 효과
Key Vault의 진단 설정을 이벤트 허브에 배포 DeployIfNotExists(기본값)
배포 - Azure Key Vault 관리되는 HSM에서 사용할 수 있도록 이벤트 허브에 대한 진단 설정 구성 DeployIfNotExists(기본값), Disabled
배포 - Azure Key Vault의 진단 설정을 Log Analytics 작업 영역으로 구성 DeployIfNotExists(기본값), Disabled
Key Vault의 리소스 로그를 사용하도록 설정해야 함 AuditIfNotExists(기본값), Disabled
Key Vault 관리되는 HSM의 리소스 로그를 사용하도록 설정해야 함 AuditIfNotExists(기본값), Disabled

인증서

인증서 수명 주기

지속적으로 손상되는 시간 프레임을 최소화하고 인증서가 공격자에게 갖는 가치를 줄여 감지되지 않은 공격을 완화할 수 있도록 수명이 짧은 인증서를 사용하도록 권장해야 합니다. 수명이 짧은 인증서를 구현하는 경우 서비스 중단을 방지할 수 있도록 만료 날짜를 정기적으로 모니터링하는 것이 좋습니다. 그러면 인증서를 만료 전에 적절하게 회전할 수 있습니다. 또한 아직 만료 기간(일)이 경과하지 않았거나 사용 가능한 수명의 특정 비율에 도달한 인증서에 대해 지정된 수명 작업을 관리할 수 있습니다.

정책 효과
[미리 보기]: 인증서에는 지정된 최대 유효 기간이 있어야 함 효과: Audit(기본값), Deny, Disabled
[미리 보기]: 인증서가 지정된 기간(일) 내에 만료되지 않아야 함 효과: Audit(기본값), Deny, Disabled
인증서에 지정된 수명 작업 트리거가 있어야 함 효과: Audit(기본값), Deny, Disabled

참고 항목

여러 만료 임계값(예: 180, 90, 60 및 30일 임계값)을 사용하여 인증서 만료 정책을 여러 번 적용하는 것이 좋습니다.

인증 기관

Azure Key Vault의 통합 인증 기관(Digicert 또는 GlobalSign) 또는 선호하는 비통합 인증 기관 중 하나를 사용하여 인증서를 발급할 인증 기관 선택을 감사하거나 적용합니다. 또한 자체 서명된 인증서 만들기를 감사하거나 거부할 수 있습니다.

정책 효과
인증서는 지정된 통합 인증 기관에서 발급해야 함 Audit(기본값), Deny, Disabled
인증서는 지정된 비통합 인증 기관에서 발급해야 함 Audit(기본값), Deny, Disabled

인증서 특성

키 자격 증명 모음의 인증서 유형을 RSA, ECC 또는 HSM 지원으로 제한합니다. 타원 곡선 암호화 또는 ECC 인증서를 사용하는 경우 P-256, P-256K, P-384, P-521 등과 같이 곡선 이름을 사용자 지정하고 선택할 수 있습니다. RSA 인증서를 사용하는 경우 인증서의 최소 키 크기를 2048비트, 3072비트 또는 4096비트로 선택할 수 있습니다.

정책 효과
인증서는 허용된 키 유형을 사용해야 함 Audit(기본값), Deny, Disabled
타원 곡선 암호화를 사용하는 인증서에는 허용되는 곡선 이름이 있어야 함 Audit(기본값), Deny, Disabled
RSA 암호화를 사용하는 인증서에는 지정된 최소 키 크기가 있어야 함 Audit(기본값), Deny, Disabled

구성

HSM 지원 키

HSM은 키를 저장하는 하드웨어 보안 모듈입니다. HSM은 암호화 키에 대한 물리적 보호 계층을 제공합니다. 암호화 키는 소프트웨어 키보다 높은 수준의 보안을 제공하는 물리적 HSM을 벗어날 수 없습니다. 일부 조직에는 HSM 키를 사용해야 하는 규정 준수 요구 사항이 있습니다. 이 정책을 사용하여 HSM을 지원하지 않는 Key Vault에 저장된 키를 감사할 수 있습니다. 이 정책을 사용하여 HSM을 지원하지 않는 새 키 만들기를 차단할 수도 있습니다. 이 정책은 RSA 및 ECC를 비롯한 모든 유형의 키에 적용됩니다.

정책 효과
키는 HSM(하드웨어 보안 모듈)에서 지원되어야 함 Audit(기본값), Deny, Disabled

키의 수명 주기

수명 주기 관리 기본 제공 기능을 사용하면 만료 날짜가 없는 키에 플래그를 지정하거나 차단하고, 키 회전 지연으로 인해 중단이 발생할 때마다 경고를 받고, 만료 날짜가 얼마 남지 않은 새 키를 만들지 못하게 하고, 키의 수명과 활성 상태를 제한하여 키 회전을 유도하고, 지정된 일 수를 초과하여 키가 활성화되지 않도록 차단할 수 있습니다.

정책 효과
키에는 키 생성 후 지정된 일 수 이내에 키 회전을 예약하는 회전 정책이 있어야 함 Audit(기본값), Disabled
Key Vault 키에는 만료 날짜가 있어야 함 Audit(기본값), Deny, Disabled
[미리 보기]: 관리되는 HSM 키의 만료 날짜가 있어야 함 Audit(기본값), Deny, Disabled
키에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 Audit(기본값), Deny, Disabled
[미리 보기]: Azure Key Vault 관리되는 HSM 키에는 지정된 만료 전 기간(일)보다 긴 기간이 있어야 함 Audit(기본값), Deny, Disabled
키에는 지정된 최대 유효 기간이 있어야 함 Audit(기본값), Deny, Disabled
키는 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 Audit(기본값), Deny, Disabled

Important

키의 활성화 날짜가 설정되어 있는 경우위의 정책은 키의 활성화 날짜부터 현재 날짜까지 경과한 일 수를 계산합니다. 일 수가 설정된 임계값을 초과하는 경우 키가 정책을 준수하지 않는 것으로 표시됩니다. 키의 활성화 날짜가 설정되어 있지 않은 경우 이 정책은 키를 만든 날짜부터 현재 날짜까지 경과된 일 수를 계산합니다. 일 수가 설정된 임계값을 초과하는 경우 키가 정책을 준수하지 않는 것으로 표시됩니다.

키 특성

Key Vault의 키 유형을 RSA, ECC 또는 HSM 지원으로 제한하세요. 타원 곡선 암호화 또는 ECC 키를 사용하는 경우 P-256, P-256K, P-384, P-521 등과 같이 곡선 이름을 사용자 지정하고 선택할 수 있습니다. RSA 키를 사용하는 경우 현재 키와 새 키의 최소 키 크기를 2048비트, 3072비트 또는 4096비트로 사용하도록 의무화할 수 있습니다. RSA 키를 더 작은 크기로 사용하는 것은 안전한 디자인 관행이 아니므로, 최소 크기 요구 사항을 충족하지 않는 새 키 만들기를 차단하는 것이 좋습니다.

정책 효과
키는 지정된 RSA 또는 EC 암호화 유형이어야 함 Audit(기본값), Deny, Disabled
타원 곡선 암호화를 사용하는 키에는 지정된 곡선 이름이 있어야 함 Audit(기본값), Deny, Disabled
[미리 보기]: 타원 곡선 암호화를 사용하는 Azure Key Vault 관리되는 HSM 키에는 지정된 곡선 이름이 있어야 함 Audit(기본값), Deny, Disabled
RSA 암호화를 사용하는 키에는 지정된 최소 키 크기가 있어야 함 Audit(기본값), Deny, Disabled
[미리 보기]: RSA 암호화를 사용하는 Azure Key Vault 관리되는 HSM 키에는 지정된 최소 키 크기가 있어야 함 Audit(기본값), Deny, Disabled

비밀

비밀의 수명 주기

수명 주기 관리 기본 제공 기능을 사용하면 만료 날짜가 없는 비밀에 플래그를 지정하거나 차단하고, 비밀 회전 지연으로 인해 중단이 발생할 때마다 경고를 받고, 만료 날짜가 얼마 남지 않은 새 키를 만들지 못하게 하고, 키의 수명과 활성 상태를 제한하여 키 회전을 유도하고, 지정된 일 수를 초과하여 키가 활성화되지 않도록 차단할 수 있습니다.

정책 효과
비밀의 만료 날짜가 있어야 함 Audit(기본값), Deny, Disabled
비밀에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 Audit(기본값), Deny, Disabled
비밀에는 지정된 최대 유효 기간이 있어야 함 Audit(기본값), Deny, Disabled
비밀은 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 Audit(기본값), Deny, Disabled

Important

비밀의 활성화 날짜가 설정되어 있는 경우위의 정책활성화 날짜부터 현재 날짜까지 경과한 일 수를 계산합니다. 일 수가 설정된 임계값을 초과하는 경우 비밀이 정책을 준수하지 않는 것으로 표시됩니다. 비밀에 활성화 날짜가 설정되어 있지 않은 경우 이 정책은 비밀을 만든 날짜에서 현재 날짜까지 경과된 일 수를 계산합니다. 일 수가 설정된 임계값을 초과하는 경우 비밀이 정책을 준수하지 않는 것으로 표시됩니다.

비밀 특성

일반 텍스트 또는 인코딩된 파일은 Azure 키 자격 증명 모음 비밀로 저장할 수 있습니다. 그러나 조직에서 키로 저장된 암호, 연결 문자열 또는 인증서에 대해 다른 순환 정책 및 제한을 설정하는 것이 좋습니다. 콘텐츠 형식 태그를 사용하면 사용자는 비밀 값을 읽지 않고도 비밀 개체에 저장된 내용을 볼 수 있습니다. 콘텐츠 형식 태그 집합이 없는 비밀을 감사할 수도 있고, 비밀의 콘텐츠 형식 태그 집합이 없는 경우 새 비밀을 만들 수 없도록 차단할 수도 있습니다.

정책 효과
비밀에는 콘텐츠 형식이 설정되어야 함 Audit(기본값), Deny, Disabled

예제 시나리오

100개 인증서를 포함하는 여러 팀에서 사용하는 Key Vault를 관리하며, Key Vault에 2년보다 오랫 동안 인증서가 없었는지 확인하려고 합니다.

  1. 인증서에는 지정된 최대 유효 기간이 있어야 함 정책을 할당하고, 인증서의 최대 유효 기간을 24개월로 지정한 후 정책의 효과를 "감사"로 설정합니다.
  2. Azure Portal에서 규정 준수 보고서를 보고 20개의 인증서가 비규격이며 2년 넘게 유효하고, 나머지 인증서는 규격인지 확인합니다.
  3. 이러한 인증서의 소유자에게 연락하여 2년 넘게 인증서가 유효할 수 없다는 새로운 보안 요구 사항을 전달합니다. 일부 팀은 최대 유효 기간인 2년 이내에 응답하고 15개의 인증서를 갱신했습니다. 다른 팀은 응답하지 않으며 여전히 키 자격 증명 모음에 5개의 비규격 인증서가 있습니다.
  4. 할당한 정책의 효과를 “거부"로 변경합니다. 비규격 인증서 5개는 해지되지 않으며 계속 작동합니다. 그러나 유효 기간이 2년보다 긴 인증서는 갱신할 수 없습니다.

Azure Portal을 통해 키 자격 증명 모음 정책 사용 및 관리

정책 정의 선택

  1. Azure Portal에 로그인합니다.

  2. 검색 창에서 "정책"을 검색하고 정책을 선택합니다.

    Screenshot that shows the Search Bar.

  3. 정책 창에서 정의를 선택합니다.

    Screenshot that highlights the Definitions option.

  4. 범주 필터에서 모두 선택을 선택 취소하고 Key Vault를 선택합니다.

    Screenshot that shows the Category Filter and the selected Key Vault category.

  5. 이제 Azure Key Vault에 대해 모든 정책을 퍼블릭 미리 보기로 사용할 수 있습니다. 위의 정책 지침 섹션을 읽고 이해했는지 확인하고 범위에 할당하려는 정책을 선택합니다.

    Screenshot that shows the policies that are available for Public Preview.

범위에 정책 할당

  1. 적용하려는 정책을 선택합니다. 이 예제에서는 인증서 유효 기간 관리 정책을 선택합니다. 왼쪽 위 모서리에 있는 할당 단추를 클릭합니다.

    Screenshot that shows the Manage Certificate Validity Period policy.

  2. 정책을 적용할 구독을 선택합니다. 구독 내에서 단일 리소스 그룹으로만 범위를 제한하도록 선택할 수 있습니다. 전체 구독에 정책을 적용하고 일부 리소스 그룹을 제외하려는 경우 제외 목록을 구성할 수도 있습니다. 정책의 효과(감사 또는 거부)를 적용하려면 정책 적용 선택기를 사용으로 설정하고, 효과(감사 또는 거부)를 해제하려면 사용 안 함으로 설정합니다.

    Screenshot that shows where you can choose to restrict the scope to only a single resource group within a subscription.

  3. 화면 맨 위에 있는 매개 변수 탭을 클릭하여 원하는 최대 유효 기간(월)을 지정합니다. 매개 변수를 입력해야 하는 경우 '입력 또는 검토가 필요한 매개 변수만 표시' 옵션을 선택 해제할 수 있습니다. 위 섹션의 지침에 따라 정책의 효과를 감사 또는 거부 중에서 선택합니다. 그런 후에 검토 + 만들기 단추를 선택합니다.

    Screenshot that shows the Parameters tab where you can specify the maximum validity period in months that you want.

규정 준수 결과 보기

  1. 정책 블레이드로 돌아가 규정 준수 탭을 선택합니다. 규정 준수 결과를 보려는 정책 할당을 클릭합니다.

    Screenshot that shows the Compliance tab where you can select the policy assignment you want to view compliance results for.

  2. 이 페이지에서 규격 또는 비호환 자격 증명 모음을 기준으로 결과를 필터링할 수 있습니다. 여기에서 정책 할당 범위 내의 비규격 Key Vault 목록을 볼 수 있습니다. 자격 증명 모음의 구성 요소(인증서)가 비규격인 경우 자격 증명 모음은 비규격으로 간주됩니다. 개별 자격 증명 모음을 선택하여 개별 비규격 구성 요소(인증서)를 볼 수 있습니다.

    Screenshot that shows a list of non-compliant Key Vaults within the scope of the policy assignment.

  3. 비규격 자격 증명 모음 내 구성 요소 이름 보기

    Screenshot that shows where you can view the name of the components within a vault that are non-compliant.

  4. 사용자가 키 자격 증명 모음 내에서 리소스를 만들 수 있는 기능이 거부되는지 여부를 확인해야 하는 경우 구성 요소 이벤트(미리 보기) 탭을 클릭하여 요청자 및 요청의 타임스탬프를 포함하는 거부된 인증서 작업의 요약을 볼 수 있습니다.

    Overview of how Azure Key Vault works

기능 제한 사항

"거부" 효과의 정책을 할당하면 비규격 리소스 생성을 거부하기 시작하는 데 최대 30분(평균적인 경우) 및 1시간(최악의 경우)이 소요될 수 있습니다. 지연은 다음 시나리오를 나타냅니다.

  1. 새 정책이 할당되었습니다.
  2. 기존 정책 할당이 수정되었습니다.
  3. 기존 정책이 있는 범위에 새 KeyVault(리소스)가 만들어집니다.

자격 증명 모음의 기존 구성 요소에 대한 정책 평가는 포털 UI에서 규정 준수 결과를 볼 수 있을 때까지 최대 1시간(평균적인 경우) 및 2시간(최악의 경우)이 소요될 수 있습니다.

규정 준수 결과가 "시작되지 않음"으로 표시되는 경우 다음과 같은 이유 때문일 수 있습니다.

  • 정책 평가를 아직 완료하지 않았습니다. 초기 평가 대기 시간이 최악의 시나리오에서 최대 2시간이 걸릴 수 있습니다.
  • 정책 할당 범위에 Key Vault가 없습니다.
  • 인증서가 정책 할당 범위 내에 있는 Key Vault가 없습니다.

참고 항목

Azure Key Vault용과 같은 Azure Policy 리소스 공급자 모드구성 요소 규정 준수 페이지에서 규정 준수에 대한 정보를 제공합니다.

다음 단계