Key Vault'de Azure ilkesini uygulamayla ilgili sorunları giderme
Bu makale, Key Vault için Azure İlkesi ayarlarken oluşabilecek genel hataları giderme konusunda size yol gösterir ve bunları çözmenin yollarını önerir.
Key Vault için Azure ilkesi hakkında
Azure İlkesi, kullanıcılara Azure ortamlarını büyük ölçekte denetleme ve yönetme olanağı sağlayan bir idare aracıdır. Azure İlkesi, atanan ilke kurallarıyla uyumlu olduklarından emin olmak için Azure kaynaklarına korumalar yerleştirmenize olanak tanır. Kullanıcıların Azure ortamlarında denetim, gerçek zamanlı zorlama ve düzeltme gerçekleştirmesine olanak tanır. İlke tarafından gerçekleştirilen denetimlerin sonuçları, kullanıcıların uyumlu olan ve olmayan kaynak ve bileşenlerin detayına gitmelerini sağlayabilecekleri bir uyumluluk panosunda kullanılabilir.
Günlüğe Kaydetme
İlke değerlendirmelerinin nasıl yapıldığını izlemek için Key Vault günlüklerini gözden geçirebilirsiniz. Bilgileri sağladığınız bir Azure depolama hesabına kaydeden Azure Key Vault için günlüğe kaydetmeyi etkinleştirme. Adım adım yönergeler için bkz. Key Vault günlüğe kaydetmeyi etkinleştirme.
Günlüğü etkinleştirdiğinizde, belirtilen depolama hesabınızda ilkeyle ilgili günlük bilgilerini toplamak için AzurePolicyEvaluationDetails adlı yeni bir kapsayıcı otomatik olarak oluşturulur.
Not
İzleme verilerine, özellikle de günlük dosyalarına erişimi hassas bilgiler içerebilecekleri için kesinlikle düzenlemeniz gerekir. Yerleşik izleme Azure rolünü uygulama ve erişimi sınırlama hakkında bilgi edinin.
Tek tek bloblar JSON blobu olarak biçimlendirilip metin olarak depolanır.
Anahtar ilkesi için örnek bir günlük girdisine bakalım: Anahtarlarda son kullanma tarihi ayarlanmış olmalıdır. Bu ilke, anahtar kasalarınızdaki tüm anahtarları değerlendirir ve son kullanma tarihi uyumsuz olarak ayarlanmamış anahtarları işaretler.
{
"ObjectName": "example",
"ObjectType": "Key",
"IsComplianceCheck": false,
"EvaluationDetails": [
{
"AssignmentId": "<subscription ID>",
"AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"DefinitionId": "<definition ID>",
"DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"Outcome": "NonCompliant",
"ExpressionEvaluationDetails": [
{
"Result": "True",
"Expression": "type",
"ExpressionKind": "Field",
"ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
"TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
"Operator": "Equals"
},
{
"Result": "True",
"Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
"ExpressionKind": "Field",
"ExpressionValue": "******",
"TargetValue": "False",
"Operator": "Exists"
}
]
}
]
}
Aşağıdaki tabloda alan adları ve açıklamaları listelemektedir:
| Alan adı | Açıklama |
|---|---|
| ObjectName | Nesnenin adı |
| ObjectType | Anahtar kasası nesnesinin türü: sertifika, gizli dizi veya anahtar |
| IsComplianceCheck | Değerlendirme her gece denetim sırasında gerçekleştiyse true, kaynak oluşturma veya güncelleştirme sırasında değerlendirme gerçekleştiyse false |
| Atama Kimliği | İlke atamasının kimliği |
| AssignmentDisplayName | İlke atamasının kolay adı |
| Tanım Kimliği | Atama için ilke tanımının kimliği |
| DefinitionDisplayName | Atama için ilke tanımının kolay adı |
| Sonuç | İlke değerlendirmesinin sonucu |
| ExpressionEvaluationDetails | İlke değerlendirmesi sırasında gerçekleştirilen değerlendirmelerle ilgili ayrıntılar |
| ExpressionValue | İlke değerlendirmesi sırasında belirtilen alanın gerçek değeri |
| TargetValue | Belirtilen alanın beklenen değeri |
Sık sorulan sorular
kurtarma Key Vault Azure ilkesi tarafından engellendi
Bunun nedenlerinden biri, aboneliğinizin (veya yönetim grubunuzun) kurtarmayı engelleyen bir ilkesi olması olabilir. Düzeltme, kasa kurtarılırken uygulanmaması için ilkeyi ayarlamaktır.
Yerleşik ilke nedeniyle kurtarma için hata türünü RequestDisallowedByPolicy görürseniz en güncel sürümü kullandığınızdan emin olun.
Kendi mantığınızla özel bir ilke oluşturduysanız, geçici silme gerektirmek için kullanılabilecek bir ilke bölümüne örnek olarak aşağıda verilmiştir. Geçici olarak silinen kasanın kurtarılması, kasa oluşturma veya güncelleştirme ile aynı API'yi kullanır. Ancak kasanın özelliklerini belirtmek yerine "recover" değerine sahip tek bir "createMode" özelliği vardır. Kasa silindiğinde sahip olduğu özelliklerle geri yüklenir. Belirli özellikleri yapılandırılmadığı sürece istekleri engelleyen ilkeler, geçici olarak silinen kasaların kurtarılmasını da engeller. Düzeltme, ilkenin "createMode" öğesinin "recover" olduğu istekleri yoksaymasına neden olacak bir yan tümce eklemektir:
İlkenin yalnızca "createMode" "recover" ile eşit olmadığında uygulanmasına neden olan bir yan tümcesi olduğunu göreceksiniz:
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.KeyVault/vaults"
},
{
"not": {
"field": "Microsoft.Keyvault/vaults/createMode",
"equals": "recover"
}
},
{
"anyOf": [
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"exists": "false"
},
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"equals": "false"
}
]
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
Key Vault'de Azure ilke ataması silme gecikmesi
Microsoft.KeyVault.Data: Silinen ilke atamalarının zorunlu kılınmasının durdurulması 24 saate kadar sürebilir.
Azaltma: İlke atamasının etkisini 'Devre Dışı' olarak güncelleştirin.
İLKe değerlendirmesi eksik ARM şablonu aracılığıyla gizli dizi oluşturma
Gizli dizi oluşturmayı değerlendiren veri düzlemi ilkeleri, gizli dizi oluşturma sırasında ARM şablonu aracılığıyla oluşturulan gizli dizilerde geçerli olmaz. 24 saat sonra, otomatik uyumluluk denetimi gerçekleştiğinde ve uyumluluk sonuçları gözden geçirilebilir.
Sonraki adımlar
- Azure İlkesi kullanmayla ilgili hataları gidermeyi öğrenin
- Bilinen Azure İlkesi sorunlar hakkında bilgi edinin