Azure Key Vault’u Azure İlkesiyle tümleştirme

  • Makale

Azure İlkesi, kullanıcılara Azure ortamlarını büyük ölçekte denetleme ve yönetme olanağı sağlayan bir idare aracıdır. Azure İlkesi, atanan ilke kurallarıyla uyumlu olduklarından emin olmak için Azure kaynaklarına korumalar yerleştirme olanağı sağlar. Kullanıcıların Azure ortamlarında denetim, gerçek zamanlı zorlama ve düzeltme gerçekleştirmesine olanak tanır. İlke tarafından gerçekleştirilen denetimlerin sonuçları, kullanıcıların uyumluluk panosunda hangi kaynakların ve bileşenlerin uyumlu ve uyumlu olup olmadığının detayına gitmelerini sağlayabilecekleri bir uyumluluk panosunda kullanılabilir. Daha fazla bilgi için bkz. Azure İlkesi hizmetine genel bakış.

Örnek Kullanım Senaryoları:

  • Şirketinizin anahtar kasalarındaki sertifikaların minimum anahtar boyutları ve maksimum geçerlilik süreleri ile ilgili gereksinimleri uygulayarak şirketinizin güvenlik duruşunu geliştirmek istiyorsunuz, ancak hangi ekiplerin uyumlu olacağını ve hangilerinin uyumlu olmadığını bilmiyorsunuz.
  • Şu anda kuruluşunuz genelinde denetim gerçekleştirmek için bir çözümünüz yok veya kuruluşunuzdaki tek tek ekiplerden uyumluluklarını bildirmelerini isteyerek ortamınızda el ile denetimler gerçekleştiriyorsunuz. Bu görevi otomatikleştirmenin, denetimleri gerçek zamanlı olarak gerçekleştirmenin ve denetimin doğruluğunu garanti etmenin bir yolunu arıyorsunuz.
  • Şirket güvenlik ilkelerinizi zorunlu kılmak ve kişilerin otomatik olarak imzalanan sertifikalar oluşturmasını durdurmak istiyorsunuz, ancak bunların oluşturulmasını engellemek için otomatik bir yolunuz yok.
  • Test ekipleriniz için bazı gereksinimleri gevşetmek, ancak üretim ortamınız üzerinde sıkı denetimler sağlamak istiyorsunuz. Kaynaklarınızın uygulanmasını ayırmak için basit bir otomatik yönteme ihtiyacınız vardır.
  • Canlı site sorunu durumunda yeni ilkelerin uygulanmasını geri almak istediğinizden emin olmak istiyorsunuz. İlkenin uygulanmasını kapatmak için tek tıklamayla bir çözüme ihtiyacınız vardır.
  • Ortamınızı denetlemek için üçüncü taraf bir çözüm kullanıyorsunuz ve bir iç Microsoft teklifi kullanmak istiyorsunuz.

İlke etkisi ve kılavuzu türleri

İlkeyi zorunlu tutmanın sonucunda elde edilen değerlendirme üzerindeki etkisini belirleyebilirsiniz. Her ilke tanımı, birden çok efekt arasından seçim yapmanızı sağlar. Bu nedenle, ilke zorlama, değerlendirdiğiniz işlemin türüne bağlı olarak farklı davranabilir. Genel olarak, Key Vault ile tümleşen ilkelerin etkileri şunlardır:

  • Denetim: bir ilkenin etkisi olarak Auditayarlandığında, ilke ortamınızda hataya neden olan değişikliklere neden olmaz. Bu bileşenler, ilke uyumluluk panosunda uyumsuz olarak işaretlenerek yalnızca belirli bir kapsamdaki ilke tanımlarıyla uyumlu olmayan sertifikalar gibi bileşenler konusunda sizi uyarır. İlke etkisi seçilmezse denetim varsayılandır.

  • Reddet: bir ilkenin etkisi olarak Denyayarlandığında, ilke sertifikalar gibi yeni bileşenlerin oluşturulmasını engeller ve ilke tanımıyla uyumlu olmayan mevcut bileşenlerin yeni sürümlerini engeller. Bir anahtar kasası içindeki mevcut uyumlu olmayan kaynaklar etkilenmez. 'Denetim' özellikleri çalışmaya devam edecektir.

  • Devre dışı: bir ilkenin etkisi olarak Disabledayarlandığında, ilke yine de değerlendirilir, ancak zorlama geçerli olmaz, bu nedenle etkin koşul Disabled için uyumlu olur. Bu, ilkeyi tüm koşulların aksine belirli bir koşul için devre dışı bırakmak için yararlıdır.

  • Değiştir: bir ilkenin etkisi olarak Modifyayarlandığında, etiketi ağa ekleme gibi kaynak etiketlerinin eklenmesini Deny gerçekleştirebilirsiniz. Bu, Azure Key Vault tarafından yönetilen HSM için genel ağa erişimi devre dışı bırakmak için kullanışlıdır. Etkiyi kullanmak Modify için parametresi aracılığıyla roleDefinitionIds ilke tanımı için bir yönetim kimliği yapılandırmak gerekir.

  • DeployIfNotExists: bir ilkenin etkisi olarak DeployIfNotExistsayarlandığında, koşul karşılandığında bir dağıtım şablonu yürütülür. Bu, Key Vault'un log analytics çalışma alanını tanılama ayarlarını yapılandırmak için kullanılabilir. Etkiyi kullanmak DeployIfNotExists için parametresi aracılığıyla roleDefinitionIds ilke tanımı için bir yönetim kimliği yapılandırmak gerekir.

  • AuditIfNotExists: bir ilkenin etkisi olarak AuditIfNotExistsayarlandığında, ilke koşulunun ayrıntılarında belirtilen özelliklerden yoksun kaynakları tanımlayabilirsiniz. Bu, kaynak günlükleri etkin olmayan anahtar kasalarını tanımlamak için kullanışlıdır. Etkiyi kullanmak DeployIfNotExists için parametresi aracılığıyla roleDefinitionIds ilke tanımı için bir yönetim kimliği yapılandırmak gerekir.

Kullanılabilir Yerleşik İlke Tanımları

'Yerleşik' olarak adlandırılan önceden belirlenmiş ilkeler, en iyi güvenlik uygulamalarıyla ilişkili yaygın olarak kullanılan kuralları zorunlu kılmak için JSON biçiminde özel ilkeler yazmanız gerekmeyecek şekilde anahtar kasalarınız üzerinde idareyi kolaylaştırır. Yerleşikler önceden belirlenmiş olsa da, bazı ilkeler parametreleri tanımlamanızı gerektirir. Örneğin, ilkenin etkisini tanımlayarak, kesintileri önlemek için bir reddetme işlemi uygulamadan önce anahtar kasasını ve nesnelerini denetleyebilirsiniz. Azure Key Vault için geçerli yerleşik öğeler dört ana grupta kategorilere ayrılmıştır: anahtar kasası, sertifikalar, anahtarlar ve gizli dizi yönetimi. Her kategoride ilkeler, belirli güvenlik hedeflerini yönlendirmeye yönelik olarak gruplandırılır.

Key Vaults

Erişim Denetimi

Azure İlkesi hizmetini kullanarak, kasalarınız genelinde RBAC izin modeline geçişi yönetebilirsiniz. Kasa erişim ilkesinden Azure rol tabanlı erişim denetimi izin modeline geçiş sayfasında daha fazla bilgi edinin

İlke Etkiler
Azure Key Vault RBAC izin modelini kullanmalıdır Denetim (Varsayılan), Reddet, Devre Dışı

Ağ Erişimi

Genel ağ erişimini kısıtlayarak, Azure Özel Bağlantı bağlantılarını etkinleştirerek, özel uç nokta için DNS çözümlemesini geçersiz kılmak için özel DNS bölgeleri oluşturarak ve anahtar kasasına varsayılan olarak herhangi bir genel IP'de erişilmeyecek şekilde güvenlik duvarı korumasını etkinleştirerek veri sızıntısı riskini azaltın.

İlke Etkiler
Azure Key Vault genel ağ erişimini devre dışı bırakmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme] Azure Key Vault Yönetilen HSM genel ağ erişimini devre dışı bırakmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: Genel ağ erişimini devre dışı bırakmak için Key Vault Yönetilen HSM'lerini yapılandırma Değiştir (Varsayılan), Devre Dışı
[Önizleme]: Azure Key Vaults özel bağlantı kullanmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: Azure Key Vault Yönetilen HSM'leri özel bağlantı kullanmalıdır Denetim (Varsayılan), Devre Dışı
[Önizleme]: Azure Key Vault'ları özel uç noktalarla yapılandırma DeployIfNotExists (Varsayılan), Devre Dışı
[Önizleme]: Azure Key Vault Yönetilen HSM'yi özel uç noktalarla yapılandırma DeployIfNotExists (Varsayılan), Devre Dışı
[Önizleme]: Azure Key Vault'ları özel DNS bölgelerini kullanacak şekilde yapılandırma DeployIfNotExists (Varsayılan), Devre Dışı
Key Vault'ta güvenlik duvarı etkinleştirilmelidir Denetim (Varsayılan), Reddet, Devre Dışı
Güvenlik duvarını etkinleştirmek için Key Vault'ları yapılandırma Değiştir (Varsayılan), Devre Dışı

Silme Koruması

Geçici silme ve temizleme korumasını etkinleştirerek anahtar kasanızın ve nesnelerinin kalıcı veri kaybını önleyin. Geçici silme, yapılandırılabilir bir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanırken, temizleme koruması geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Temizleme koruması yalnızca geçici silme etkinleştirildikten sonra etkinleştirilebilir. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez.

İlke Etkiler
Key Vault'larda geçici silme etkinleştirilmelidir Denetim (Varsayılan), Reddet, Devre Dışı
Key Vault'larda temizleme koruması etkinleştirilmelidir Denetim (Varsayılan), Reddet, Devre Dışı
Azure Key Vault Yönetilen HSM'de temizleme koruması etkinleştirilmelidir Denetim (Varsayılan), Reddet, Devre Dışı

Tanılama

Bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanılacak etkinlik izlerini yeniden oluşturmak için kaynak günlüklerinin etkinleştirilmesini sağlayın.

İlke Etkiler
Key Vaults için tanılama ayarlarını bir Olay Hub'ına dağıtma DeployIfNotExists (Varsayılan)
Dağıtma - Key Vault tarafından yönetilen HSM'ler için tanılama ayarlarını bir Olay Hub'ına yapılandırma DeployIfNotExists (Varsayılan), Devre Dışı
Dağıtma - Key Vaults için tanılama ayarlarını Log Analytics çalışma alanına yapılandırma DeployIfNotExists (Varsayılan), Devre Dışı
Key Vault'lardaki kaynak günlükleri etkinleştirilmelidir AuditIfNotExists (Varsayılan), Devre Dışı
Key Vault yönetilen HSM'lerindeki kaynak günlükleri etkinleştirilmelidir AuditIfNotExists (Varsayılan), Devre Dışı

Sertifikalar

Sertifikaların Yaşam Döngüsü

Algılanmayan saldırıları azaltmak için, devam eden hasarın zaman çerçevesini en aza indirerek ve sertifikanın saldırganlara olan değerini azaltarak kısa süreli sertifikaların kullanımını teşvik edin. Kısa süreli sertifikalar uygulanırken kesintileri önlemek için süre sonu tarihlerini düzenli olarak izlemeleri önerilir, böylece süre sonu öncesinde yeterince döndürülebilirler. Ayrıca, süresi doldukları belirli bir gün içinde olan veya kullanılabilir ömrünün belirli bir yüzdesine ulaşmış sertifikalar için belirtilen yaşam süresi eylemini de denetleyebilirsiniz.

İlke Etkiler
[Önizleme]: Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır Efektler: Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: Sertifikaların süresi belirtilen gün sayısı içinde dolmamalıdır Efektler: Denetim (Varsayılan), Reddet, Devre Dışı
Sertifikaların belirtilen yaşam süresi eylem tetikleyicileri olmalıdır Efektler: Denetim (Varsayılan), Reddet, Devre Dışı

Not

Sertifika süre sonu ilkesinin 180, 90, 60 ve 30 günlük eşikler gibi farklı süre sonu eşikleri ile birden çok kez uygulanması önerilir.

Sertifika Yetkilisi

Azure Key Vault'un tümleşik sertifika yetkililerinden birine (Digicert veya GlobalSign) veya tercihinize göre tümleşik olmayan bir sertifika yetkilisine bağlı olarak sertifikalarınızı vermek için belirli bir sertifika yetkilisinin seçimini denetleyin veya zorunlu tutun. Otomatik olarak imzalanan sertifikaların oluşturulmasını da denetleyebilir veya reddedebilirsiniz.

İlke Etkiler
Sertifikalar belirtilen tümleşik sertifika yetkilisi tarafından verilmelidir Denetim (Varsayılan), Reddet, Devre Dışı
Sertifikalar, belirtilen tümleşik olmayan sertifika yetkilisi tarafından verilmelidir Denetim (Varsayılan), Reddet, Devre Dışı

Sertifika Öznitelikleri

Anahtar kasanızın sertifikalarının türünü RSA, ECC veya HSM destekli olacak şekilde kısıtlayın. Üç nokta eğri şifrelemesi veya ECC sertifikaları kullanıyorsanız P-256, P-256K, P-384 ve P-521 gibi eğri adlarını özelleştirebilir ve seçebilirsiniz. RSA sertifikaları kullanıyorsanız, sertifikalarınız için en düşük anahtar boyutunu 2048 bit, 3072 bit veya 4096 bit olarak seçebilirsiniz.

İlke Etkiler
Sertifikalar izin verilen anahtar türlerini kullanmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
Üç nokta eğrisi şifrelemesi kullanan sertifikalar, eğri adlarına izin vermelidir Denetim (Varsayılan), Reddet, Devre Dışı
RSA şifrelemesi kullanan sertifikalar belirtilen en düşük anahtar boyutuna sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı

Anahtarlar

HSM destekli anahtarlar

HSM, anahtarları depolayan bir donanım güvenlik modülüdür. HSM, şifreleme anahtarları için fiziksel bir koruma katmanı sağlar. Şifreleme anahtarı, yazılım anahtarından daha yüksek bir güvenlik düzeyi sağlayan fiziksel bir HSM'den ayrılamaz. Bazı kuruluşların, HSM anahtarlarının kullanımını zorunlu hale getiren uyumluluk gereksinimleri vardır. Bu ilkeyi, Key Vault'unuzda depolanan ve HSM destekli olmayan anahtarları denetlemek için kullanabilirsiniz. HSM destekli olmayan yeni anahtarların oluşturulmasını engellemek için de bu ilkeyi kullanabilirsiniz. Bu ilke, RSA ve ECC de dahil olmak üzere tüm anahtar türleri için geçerlidir.

İlke Etkiler
Anahtarlar bir donanım güvenlik modülü (HSM) tarafından desteklenmelidir Denetim (Varsayılan), Reddet, Devre Dışı

Anahtarların Yaşam Döngüsü

Yaşam döngüsü yönetimi yerleşikleriyle, son kullanma tarihi olmayan anahtarları işaretleyebilir veya engelleyebilir, anahtar döndürmedeki gecikmeler kesintiye neden olabileceğinde uyarılar alabilir, son kullanma tarihlerine yakın olan yeni anahtarların oluşturulmasını engelleyebilir, anahtar döndürmeyi yönlendirmek için anahtarların yaşam süresini ve etkin durumunu sınırlayabilir ve anahtarların belirtilen sayıda günden uzun süre etkin olmasını önleyebilirsiniz.

İlke Etkiler
Anahtarlar, döndürmelerinin oluşturulduktan sonraki belirtilen gün sayısı içinde zamanlandığından emin olan bir döndürme ilkesine sahip olmalıdır Denetim (Varsayılan), Devre Dışı
Key Vault anahtarlarının son kullanma tarihi olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: Yönetilen HSM anahtarlarının son kullanma tarihi olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
Anahtarların süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: Azure Key Vault Yönetilen HSM Anahtarlarının süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir Denetim (Varsayılan), Reddet, Devre Dışı
Anahtarlar belirtilen en yüksek geçerlilik süresine sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
Anahtarlar belirtilen gün sayısından daha uzun süre etkin olmamalıdır Denetim (Varsayılan), Reddet, Devre Dışı

Önemli

Anahtarınızda bir etkinleştirme tarihi ayarlanmışsa, yukarıdaki ilke anahtarın etkinleştirme tarihinden geçerli tarihe kadar geçen gün sayısını hesaplar. Gün sayısı belirlediğiniz eşiği aşarsa, anahtar ilkeyle uyumlu değil olarak işaretlenir. Anahtarınızda bir etkinleştirme tarihi ayarlanmamışsa, ilke anahtarın oluşturulma tarihinden geçerli tarihe kadar geçen gün sayısını hesaplar. Gün sayısı belirlediğiniz eşiği aşarsa, anahtar ilkeyle uyumlu değil olarak işaretlenir.

Anahtar Öznitelikleri

Key Vault anahtarlarınızın türünü RSA, ECC veya HSM destekli olacak şekilde kısıtlayın. Üç nokta eğri şifrelemesi veya ECC anahtarları kullanıyorsanız P-256, P-256K, P-384 ve P-521 gibi eğri adlarını özelleştirebilir ve seçebilirsiniz. RSA anahtarları kullanıyorsanız, geçerli ve yeni anahtarlar için en düşük anahtar boyutunun 2048 bit, 3072 bit veya 4096 bit olmasını zorunlu kılabilirsiniz. Daha küçük anahtar boyutlarına sahip RSA anahtarlarını kullanmanın güvenli bir tasarım uygulaması olmadığını, bu nedenle en düşük boyut gereksinimini karşılamayen yeni anahtarların oluşturulmasını engellemenin önerildiğini unutmayın.

İlke Etkiler
Anahtarlar belirtilen şifreleme türü RSA veya EC olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
Üç nokta eğrisi şifrelemesi kullanan anahtarlar belirtilen eğri adlara sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: Üç nokta eğri şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen eğri adlarına sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
RSA şifrelemesi kullanan anahtarlar belirtilen en düşük anahtar boyutuna sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
[Önizleme]: RSA şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen en düşük anahtar boyutuna sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı

Gizli Diziler

Gizli Dizilerin Yaşam Döngüsü

Yaşam döngüsü yönetimi yerleşikleriyle, son kullanma tarihi olmayan gizli dizilere bayrak ekleyebilir veya engelleyebilir, gizli dizi döndürmedeki gecikmeler kesintiye neden olabileceğinde uyarılar alabilir, son kullanma tarihlerine yakın olan yeni anahtarların oluşturulmasını engelleyebilir, anahtar döndürmeyi yönlendirmek için anahtarların yaşam süresini ve etkin durumunu sınırlayabilir ve anahtarların belirtilen sayıda günden uzun süre etkin olmasını önleyebilirsiniz.

İlke Etkiler
Gizli dizilerin son kullanma tarihi olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
Gizli dizilerin süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir Denetim (Varsayılan), Reddet, Devre Dışı
Gizli diziler belirtilen en yüksek geçerlilik süresine sahip olmalıdır Denetim (Varsayılan), Reddet, Devre Dışı
Gizli diziler belirtilen gün sayısından daha uzun süre etkin olmamalıdır Denetim (Varsayılan), Reddet, Devre Dışı

Önemli

Gizli dizinizin bir etkinleştirme tarihi ayarlanmışsa, yukarıdaki ilke gizli anahtarın etkinleştirme tarihinden geçerli tarihe kadar geçen gün sayısını hesaplar. Gün sayısı belirlediğiniz eşiği aşarsa, gizli dizi ilkeyle uyumlu değil olarak işaretlenir. Gizli dizinizin bir etkinleştirme tarihi ayarlanmamışsa, bu ilke gizli dizinin oluşturulma tarihinden geçerli tarihe kadar geçen gün sayısını hesaplar. Gün sayısı belirlediğiniz eşiği aşarsa, gizli dizi ilkeyle uyumlu değil olarak işaretlenir.

Gizli Dizi Öznitelikleri

Tüm düz metinler veya kodlanmış dosyalar Azure anahtar kasası gizli dizisi olarak depolanabilir. Ancak, kuruluşunuz parolalar, bağlantı dizesi veya anahtar olarak depolanan sertifikalar için farklı döndürme ilkeleri ve kısıtlamalar ayarlamak isteyebilir. İçerik türü etiketi, kullanıcının gizli dizi değerini okumadan gizli dizi nesnesinde depolananları görmesine yardımcı olabilir. İçerik türü etiket kümesi olmayan gizli dizileri denetleyebilir veya içerik türü etiket kümesi olmayan yeni gizli dizilerin oluşturulmasını engelleyebilirsiniz.

İlke Etkiler
Gizli dizilerde içerik türü ayarlanmalıdır Denetim (Varsayılan), Reddet, Devre Dışı

Örnek Senaryo

100 sertifika içeren birden çok ekip tarafından kullanılan bir anahtar kasasını yönetirsiniz ve anahtar kasasındaki sertifikaların hiçbirinin 2 yıldan uzun süre geçerli olmamasını istersiniz.

  1. Sertifikalar'ın belirtilen en yüksek geçerlilik süresi ilkesine sahip olması, bir sertifikanın geçerlilik süresi üst sınırının 24 ay olmasını belirtmeniz ve ilkenin etkisini "denetim" olarak ayarlamanız gerekir.
  2. Uyumluluk raporunu Azure portalında görüntüleyip 20 sertifikanın uyumlu olmadığını ve 2 yıl boyunca > geçerli olduğunu ve kalan sertifikaların uyumlu olduğunu keşfedeceksiniz.
  3. Bu sertifikaların sahipleriyle iletişim kurar ve sertifikaların 2 yıldan uzun süre geçerli olamaz yeni güvenlik gereksinimini iletirsiniz. Bazı ekipler yanıt verir ve sertifikaların 15'i en fazla 2 yıl veya daha kısa bir süreyle yenilenmiştir. Diğer ekipler yanıt vermez ve anahtar kasanızda hala uyumlu olmayan 5 sertifikanız vardır.
  4. Atadığınız ilkenin etkisini "reddet" olarak değiştirirsiniz. Uyumlu olmayan 5 sertifika iptal edilmemiştir ve çalışmaya devam eder. Ancak, 2 yıldan uzun bir geçerlilik süresiyle yenilenemezler.

Azure portalı aracılığıyla anahtar kasası ilkesini etkinleştirme ve yönetme

İlke Tanımı Seçin

  1. Azure portalında oturum açın.

  2. Arama Çubuğu'nda "İlke" araması yapın ve İlkeYi Seçin.

    Arama Çubuğu'nu gösteren ekran görüntüsü.

  3. İlke penceresinde Tanımlar'ı seçin.

    Tanımlar seçeneğini vurgulayan ekran görüntüsü.

  4. Kategori Filtresi'nde Tümünü Seç'in seçimini kaldırın ve Anahtar Kasası'nı seçin.

    Kategori Filtresi'ni ve seçili Key Vault kategorisini gösteren ekran görüntüsü.

  5. Artık Azure Key Vault için Genel Önizleme'de kullanılabilen tüm ilkeleri görebilmeniz gerekir. Yukarıdaki ilke kılavuzu bölümünü okuduğunuzdan ve anladığınızdan emin olun ve bir kapsama atamak istediğiniz ilkeyi seçin.

    Genel Önizleme için kullanılabilen ilkeleri gösteren ekran görüntüsü.

Kapsama İlke Atama

  1. Uygulamak istediğiniz ilkeyi seçin, bu örnekte Sertifika Geçerlilik Süresini Yönet ilkesi gösterilir. Sol üst köşedeki ata düğmesine tıklayın.

    Sertifika Geçerlilik Süresini Yönet ilkesini gösteren ekran görüntüsü.

  2. İlkenin uygulanmasını istediğiniz aboneliği seçin. Kapsamı bir abonelik içinde yalnızca tek bir kaynak grubuyla kısıtlamayı seçebilirsiniz. İlkeyi aboneliğin tamamına uygulamak ve bazı kaynak gruplarını dışlamak istiyorsanız, bir dışlama listesi de yapılandırabilirsiniz. İlkenin etkisinin (denetim veya reddetme) gerçekleşmesini istiyorsanız ilke zorlama seçicisini Etkin olarak veya etkiyi (denetim veya reddetme) kapatmak için Devre Dışı olarak ayarlayın.

    Kapsamı abonelik içinde yalnızca tek bir kaynak grubuyla kısıtlamayı seçebileceğiniz yeri gösteren ekran görüntüsü.

  3. İstediğiniz ay cinsinden en yüksek geçerlilik süresini belirtmek için ekranın üst kısmındaki parametreler sekmesine tıklayın. Parametreleri girmeniz gerekiyorsa , 'Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster' seçeneğinin işaretini kaldırabilirsiniz. Yukarıdaki bölümlerde yer alan yönergeleri izleyerek ilkenin etkisi için denetle veya reddet'i seçin. Ardından gözden geçir + oluştur düğmesini seçin.

    İstediğiniz ay cinsinden en fazla geçerlilik süresini belirtebileceğiniz Parametreler sekmesini gösteren ekran görüntüsü.

Uyumluluk Sonuçlarını Görüntüle

  1. İlke dikey penceresine dönün ve uyumluluk sekmesini seçin. Uyumluluk sonuçlarını görüntülemek istediğiniz ilke atamasına tıklayın.

    Uyumluluk sonuçlarını görüntülemek istediğiniz ilke atamasını seçebileceğiniz Uyumluluk sekmesini gösteren ekran görüntüsü.

  2. Bu sayfadan sonuçları uyumlu veya uyumlu olmayan kasalara göre filtreleyebilirsiniz. Burada, ilke ataması kapsamında uyumlu olmayan anahtar kasalarının listesini görebilirsiniz. Kasadaki bileşenlerden (sertifikalar) herhangi biri uyumlu değilse kasa uyumsuz olarak kabul edilir. Tek bir kasayı seçerek uyumlu olmayan bileşenleri (sertifikaları) görüntüleyebilirsiniz.

    İlke ataması kapsamında uyumlu olmayan Key Vault'ların listesini gösteren ekran görüntüsü.

  3. Kasa içindeki uyumlu olmayan bileşenlerin adını görüntüleme

    Kasa içindeki uyumlu olmayan bileşenlerin adını nerede görüntüleyebileceğinizi gösteren ekran görüntüsü.

  4. Kullanıcıların anahtar kasası içinde kaynak oluşturma yeteneğinin reddedilip reddedilmediğini denetlemeniz gerekiyorsa, istekte bulunan ve isteklerin zaman damgalarıyla reddedilen sertifika işlemlerinin özetini görüntülemek için Bileşen Olayları (önizleme) sekmesine tıklayabilirsiniz.

    Azure Key Vault'un çalışma şekline genel bakış

Özellik Sınırlamaları

"Reddet" etkisi olan bir ilkenin atanması, uyumlu olmayan kaynakların oluşturulmasını reddetmeye başlamak için 30 dakika (ortalama durum) ve 1 saat (en kötü durum) kadar sürebilir. Gecikme aşağıdaki senaryoları ifade eder -

  1. Yeni bir ilke atanır.
  2. Var olan bir ilke ataması değiştirildi.
  3. Mevcut ilkelerle bir kapsamda yeni bir KeyVault (kaynak) oluşturulur.

Bir kasadaki mevcut bileşenlerin ilke değerlendirmesi, uyumluluk sonuçlarının portal kullanıcı arabiriminde görüntülenmesi için 1 saat (ortalama durum) ve 2 saat (en kötü durum) kadar sürebilir.

Uyumluluk sonuçları "Başlatılmamış" olarak gösterildiyse bunun nedeni aşağıdaki nedenlerden kaynaklanıyor olabilir:

  • İlke değerlemesi henüz tamamlanmadı. En kötü durum senaryosunda ilk değerlendirme gecikmesi 2 saate kadar sürebilir.
  • İlke ataması kapsamında anahtar kasası yok.
  • İlke ataması kapsamında sertifikaları olan anahtar kasaları yoktur.

Not

Azure Key Vault'a yönelik modlar gibi Kaynak Sağlayıcısı modlarını Azure İlkesi, Bileşen Uyumluluğu sayfasında uyumluluk hakkında bilgi sağlar.

Sonraki Adımlar