Azure 原則 金鑰保存庫的內建定義
此頁面是 金鑰保存庫 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
金鑰保存庫 (服務)
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure Key Vault 受控 HSM 應停用公用網路存取 | 停用 Azure Key Vault 受控 HSM 的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:Azure Key Vault 受控 HSM 應該使用私人連結 | 私人連結提供不需透過公用網際網路傳送流量即可將 Azure Key Vault 受控 HSM 連線至 Azure 資源的方法。 私人連結提供深層防禦保護,以防止資料外流。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [預覽]:憑證應由指定的非整合式憑證授權單位發行 | 藉由指定可在金鑰保存庫中發行憑證的自訂或內部憑證授權單位,來管理您的組織合規性需求。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽]:將 Azure Key Vault 受控 HSM 設為停用公用網路存取 | 停用 Azure Key Vault 受控 HSM 的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | 修改、停用 | 2.0.0-preview |
| [預覽]:使用私人端點設定 Azure Key Vault 受控 HSM | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 您可以將私人端點對應至 Azure Key Vault 受控 HSM,藉此降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| Azure Key Vault 受控 HSM 應啟用清除保護 | 惡意刪除 Azure Key Vault 受控 HSM 可能會導致永久的資料遺失。 您組織中可能有惡意的內部人員能夠刪除和清除 Azure Key Vault 受控 HSM。 清除保護可對虛刪除的 Azure Key Vault 受控 HSM 強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的 Azure Key Vault 受控 HSM。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Key Vault 應停用公用網路存取 | 停用金鑰保存庫的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/akvprivatelink。 | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍以限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault 應該使用 RBAC 權限模型 | 啟用跨 Key Vault 的 RBAC 權限模型。 深入了解:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| 憑證應由指定的整合式憑證授權單位發行 | 藉由指定可在金鑰保存庫中發行憑證的 Azure 整合式憑證授權單位 (例如 Digicert 或 GlobalSign),來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 憑證應由指定的非整合式憑證授權位單位發行 | 藉由指定可在金鑰保存庫中發行憑證的一個自訂或內部憑證授權單位,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
| 憑證應具有指定的存留期動作觸發程序 | 指定憑證存留期動作要在達到其存留期的特定百分比時觸發,或在到期前特定天數時觸發,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
| 憑證不應在指定的天數內到期 | 管理將在指定天數內到期的憑證,以確保到期之前,您的組織有足夠的時間輪替憑證。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
| 憑證應使用允許的金鑰類型 | 限制允許憑證使用的金鑰類型,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 使用橢圓曲線密碼編譯的憑證應該有允許的曲線名稱 | 針對金鑰保存庫中儲存的 ECC 憑證,管理允許的橢圓曲線名稱。 如需詳細資訊,請參閱 https://aka.ms/akvpolicy。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小 | 為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 使用私人端點設定 Azure Key Vault | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定金鑰保存庫以啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 接著,您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改、停用 | 1.1.1 |
| 部署 - 進行 Azure Key Vault 到 Log Analytics 工作區的診斷設定 | 當建立或更新的 Key Vault,缺少讓 Azure Key Vault 將資源記錄串流至 Log Analytics 工作區的診斷設定時,就部署此診斷設定。 | DeployIfNotExists, Disabled | 2.0.1 |
| 部署 - 對 Log Analytics 工作區進行診斷設定,以在 Azure Key Vault 受控 HSM 上啟用 | 針對 Azure Key Vault 受控 HSM 部署診斷設定,以在建立或更新任何缺少此診斷設定的 Azure Key Vault 受控 HSM 時,將該診斷設定串流至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
| 部署 - 對事件中樞進行診斷設定,以在 Azure Key Vault 受控 HSM 上啟用 | 針對 Azure Key Vault 受控 HSM 部署診斷設定,以在建立或更新任何缺少此診斷設定的 Azure Key Vault 受控 HSM 時,將該診斷設定串流至區域事件中樞。 | DeployIfNotExists, Disabled | 1.0.0 |
| 將 Key Vault 的診斷設定部署至事件中樞 | 針對 Key Vault 部署診斷設定,以在任何缺少此診斷設定的 Key Vault 建立或更新時串流至區域事件中樞。 | DeployIfNotExists, Disabled | 3.0.1 |
| 將 Key Vault 的診斷設定部署至 Log Analytics 工作區 | 針對 Key Vault 部署診斷設定,以在任何缺少此診斷設定的 Key Vault 建立或更新時串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 3.0.0 |
| 針對金鑰保存庫 (microsoft.keyvault/vaults) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對金鑰保存庫 (microsoft.keyvault/vaults) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對金鑰保存庫 (microsoft.keyvault/vaults) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對金鑰保存庫 (microsoft.keyvault/vaults) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對金鑰保存庫 (microsoft.keyvault/vaults) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對金鑰保存庫 (microsoft.keyvault/vaults) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對受控 HSM (microsoft.keyvault/managedhsms) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 HSM (microsoft.keyvault/managedhsms) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對受控 HSM (microsoft.keyvault/managedhsms) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 HSM (microsoft.keyvault/managedhsms) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對受控 HSM (microsoft.keyvault/managedhsms) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對受控 HSM (microsoft.keyvault/managedhsms) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| Key Vault 應該使用虛擬網路服務端點 | 此原則會稽核任何未設定為使用虛擬網路服務端點的 Key Vault。 | Audit, Disabled | 1.0.0 |
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫依預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
| 金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
| 金鑰應採用硬體安全性模組 (HSM) | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。 若沒有提供比軟體金鑰更高層級的安全性,密碼編譯金鑰無法離開實體 HSM。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應為指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用由特定密碼編譯類型支援的金鑰。 在您環境中強制執行特定密碼編譯的金鑰類型 (RSA 或 EC)。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應該有輪替原則,以確保其輪替排程在建立後的指定天數內。 | 指定金鑰建立後直到必須輪替為止的天數上限,以管理組織的合規性需求。 | Audit, Disabled | 1.0.0 |
| 金鑰的天數應大於指定的到期前天數 | 如果金鑰太接近到期日,則組織若延遲輪替金鑰,可能會導致中斷。 金鑰應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應具有指定的最大有效期間 | 藉由指定金鑰可在金鑰保存庫內的有效期間上限 (以天為單位),來管理組織的合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰的使用時間不應超過指定天數 | 指定金鑰應使用的天數。 長時間使用的金鑰會增加攻擊者危害金鑰的機率。 作為良好的安全性做法,請確定您的金鑰有效期未超過兩年。 | Audit, Deny, Disabled | 1.0.1 |
| 使用橢圓曲線密碼編譯的金鑰應具有指定的曲線名稱 | 由橢圓曲線密碼編譯支援的金鑰可以有不同的曲線名稱。 有些應用程式只與特定的橢圓曲線金鑰相容。 強制執行可在您環境中建立的橢圓曲線金鑰類型。 | Audit, Deny, Disabled | 1.0.1 |
| 使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小 | 設定允許與金鑰保存庫搭配使用的最小金鑰大小。 使用小型金鑰的 RSA 金鑰並不是安全的做法,也不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1 |
| 應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 若要在發生安全性事件或網路遭到入侵時,重新建立活動軌跡以供調查之用,您可能會想要在受控 HSM 上啟用資源記錄來進行稽核。 請遵照這裡的指示進行:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists, Disabled | 1.1.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 祕密應設定內容類型 | 內容類型標記可協助識別祕密是否為密碼、連接字串等。不同的祕密有不同的輪替需求。 內容類型標記應設定於祕密上。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密的天數應大於指定的到期前天數 | 如果祕密太接近到期日,則組織若延遲輪替祕密,可能會導致中斷。 祕密應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密應具有指定的最大有效期間 | 藉由指定祕密可在金鑰保存庫內的有效期間上限 (以天為單位),來管理組織的合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密的使用時間不應超過指定天數 | 如果您的祕密在建立時,設定了未來的啟用日期,則您必須確保祕密的使用時間不超過指定的持續時間。 | Audit, Deny, Disabled | 1.0.1 |
金鑰保存庫 (物件)
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:憑證應由指定的非整合式憑證授權單位發行 | 藉由指定可在金鑰保存庫中發行憑證的自訂或內部憑證授權單位,來管理您的組織合規性需求。 | Audit, Deny, Disabled | 1.0.0-preview |
| 憑證應由指定的整合式憑證授權單位發行 | 藉由指定可在金鑰保存庫中發行憑證的 Azure 整合式憑證授權單位 (例如 Digicert 或 GlobalSign),來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 憑證應由指定的非整合式憑證授權位單位發行 | 藉由指定可在金鑰保存庫中發行憑證的一個自訂或內部憑證授權單位,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
| 憑證應具有指定的存留期動作觸發程序 | 指定憑證存留期動作要在達到其存留期的特定百分比時觸發,或在到期前特定天數時觸發,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
| 憑證不應在指定的天數內到期 | 管理將在指定天數內到期的憑證,以確保到期之前,您的組織有足夠的時間輪替憑證。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
| 憑證應使用允許的金鑰類型 | 限制允許憑證使用的金鑰類型,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 使用橢圓曲線密碼編譯的憑證應該有允許的曲線名稱 | 針對金鑰保存庫中儲存的 ECC 憑證,管理允許的橢圓曲線名稱。 如需詳細資訊,請參閱 https://aka.ms/akvpolicy。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| 使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小 | 為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
| Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| 金鑰應採用硬體安全性模組 (HSM) | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。 若沒有提供比軟體金鑰更高層級的安全性,密碼編譯金鑰無法離開實體 HSM。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應為指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用由特定密碼編譯類型支援的金鑰。 在您環境中強制執行特定密碼編譯的金鑰類型 (RSA 或 EC)。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應該有輪替原則,以確保其輪替排程在建立後的指定天數內。 | 指定金鑰建立後直到必須輪替為止的天數上限,以管理組織的合規性需求。 | Audit, Disabled | 1.0.0 |
| 金鑰的天數應大於指定的到期前天數 | 如果金鑰太接近到期日,則組織若延遲輪替金鑰,可能會導致中斷。 金鑰應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應具有指定的最大有效期間 | 藉由指定金鑰可在金鑰保存庫內的有效期間上限 (以天為單位),來管理組織的合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰的使用時間不應超過指定天數 | 指定金鑰應使用的天數。 長時間使用的金鑰會增加攻擊者危害金鑰的機率。 作為良好的安全性做法,請確定您的金鑰有效期未超過兩年。 | Audit, Deny, Disabled | 1.0.1 |
| 使用橢圓曲線密碼編譯的金鑰應具有指定的曲線名稱 | 由橢圓曲線密碼編譯支援的金鑰可以有不同的曲線名稱。 有些應用程式只與特定的橢圓曲線金鑰相容。 強制執行可在您環境中建立的橢圓曲線金鑰類型。 | Audit, Deny, Disabled | 1.0.1 |
| 使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小 | 設定允許與金鑰保存庫搭配使用的最小金鑰大小。 使用小型金鑰的 RSA 金鑰並不是安全的做法,也不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密應設定內容類型 | 內容類型標記可協助識別祕密是否為密碼、連接字串等。不同的祕密有不同的輪替需求。 內容類型標記應設定於祕密上。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密的天數應大於指定的到期前天數 | 如果祕密太接近到期日,則組織若延遲輪替祕密,可能會導致中斷。 祕密應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密應具有指定的最大有效期間 | 藉由指定祕密可在金鑰保存庫內的有效期間上限 (以天為單位),來管理組織的合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
| 祕密的使用時間不應超過指定天數 | 如果您的祕密在建立時,設定了未來的啟用日期,則您必須確保祕密的使用時間不超過指定的持續時間。 | Audit, Deny, Disabled | 1.0.1 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: