Az Azure-szabályzat Key Vault történő implementálásával kapcsolatos problémák elhárítása
Ez a cikk bemutatja, hogyan háríthatja el azokat az általános hibákat, amelyek a Key Vault Azure Policy beállításakor fordulhatnak elő, és megoldási módszereket javasol.
Az Azure Policy for Key Vault ismertetése
Azure Policy egy irányítási eszköz, amely lehetővé teszi a felhasználók számára az Azure-környezet nagy léptékű naplózását és kezelését. Azure Policy lehetővé teszi, hogy védőkorlátokat helyezzen el az Azure-erőforrásokon, hogy azok megfeleljenek a hozzárendelt szabályzatszabályoknak. Lehetővé teszi a felhasználók számára az Azure-környezet naplózását, valós idejű kikényszerítését és szervizelését. A szabályzat által végrehajtott auditok eredményei elérhetők lesznek a felhasználók számára egy megfelelőségi irányítópulton, ahol megtekinthetik, hogy mely erőforrások és összetevők megfelelőek, és melyek nem.
Naplózás
A szabályzatértékelések nyomon követéséhez áttekintheti a Key Vault naplókat. Az Azure Key Vault naplózásának engedélyezése, amely az Ön által megadott Azure Storage-fiókba menti az adatokat. Részletes útmutatásért lásd: Key Vault naplózás engedélyezése.
Ha engedélyezi a naplózást, a rendszer automatikusan létrehoz egy AzurePolicyEvaluationDetails nevű új tárolót a szabályzattal kapcsolatos naplózási információk gyűjtéséhez a megadott tárfiókban.
Megjegyzés
Szigorúan szabályoznia kell a figyelési adatokhoz, különösen a naplófájlokhoz való hozzáférést, mivel ezek bizalmas információkat tartalmazhatnak. Ismerje meg az Azure-szerepkör beépített monitorozásának alkalmazását és a hozzáférés korlátozását.
Az egyes blobok JSON-blobként, szöveges formában vannak tárolva.
Tekintsünk meg egy példanapló-bejegyzést egy kulcsszabályzathoz: A kulcsoknak lejárati dátummal kell rendelkezniük. Ez a szabályzat kiértékeli a kulcstartók összes kulcsát, és megjelöli azokat a kulcsokat, amelyek nem rendelkeznek lejárati dátummal, és nem megfelelőként vannak beállítva.
{
"ObjectName": "example",
"ObjectType": "Key",
"IsComplianceCheck": false,
"EvaluationDetails": [
{
"AssignmentId": "<subscription ID>",
"AssignmentDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"DefinitionId": "<definition ID>",
"DefinitionDisplayName": "[Preview]: Key Vault keys should have an expiration date",
"Outcome": "NonCompliant",
"ExpressionEvaluationDetails": [
{
"Result": "True",
"Expression": "type",
"ExpressionKind": "Field",
"ExpressionValue": "Microsoft.KeyVault.Data/vaults/keys",
"TargetValue": "Microsoft.KeyVault.Data/vaults/keys",
"Operator": "Equals"
},
{
"Result": "True",
"Expression": "Microsoft.KeyVault.Data/vaults/keys/attributes.expiresOn",
"ExpressionKind": "Field",
"ExpressionValue": "******",
"TargetValue": "False",
"Operator": "Exists"
}
]
}
]
}
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Description |
|---|---|
| ObjectName | Az objektum neve |
| ObjectType | Kulcstartó-objektum típusa: tanúsítvány, titkos kód vagy kulcs |
| IsComplianceCheck | Igaz, ha a kiértékelés az éjszakai naplózás során történt, hamis, ha az értékelés az erőforrás létrehozása vagy frissítése során történt |
| Hozzárendelés azonosítója | A szabályzat-hozzárendelés azonosítója |
| AssignmentDisplayName | A szabályzat-hozzárendelés rövid neve |
| Definícióazonosító | A hozzárendelés szabályzatdefiníciójának azonosítója |
| DefinitionDisplayName | A hozzárendelés szabályzatdefiníciójának rövid neve |
| Eredmény | A szabályzatértékelés eredménye |
| ExpressionEvaluationDetails | A szabályzatértékelés során végrehajtott értékelések részletei |
| ExpressionValue | A megadott mező tényleges értéke a szabályzat kiértékelése során |
| TargetValue | A megadott mező várt értéke |
Gyakori kérdések
Key Vault azure policy által blokkolt helyreállítás
Ennek egyik oka lehet, hogy az előfizetése (vagy felügyeleti csoportja) rendelkezik egy olyan szabályzattal, amely blokkolja a helyreállítást. A javítás célja, hogy úgy módosítsa a szabályzatot, hogy az ne legyen érvényes a tároló helyreállításakor.
Ha a beépített szabályzat miatt a helyreállítás hibatípusát RequestDisallowedByPolicy látja, győződjön meg arról, hogy a legújabb verziót használja.
Ha egyéni szabályzatot hozott létre a saját logikájával, íme egy példa egy olyan szabályzatrészre, amely helyreállítható törlést igényelhet. A helyreállíthatóan törölt tárolók helyreállítása ugyanazt az API-t használja, mint egy tároló létrehozása vagy frissítése. A tároló tulajdonságainak megadása helyett azonban egyetlen "createMode" tulajdonsággal rendelkezik, amelynek értéke "recovery". A tároló a törléskor használt bármilyen tulajdonságokkal lesz visszaállítva. Azok a szabályzatok, amelyek letiltják a kéréseket, hacsak nincsenek konfigurálva meghatározott tulajdonságok, szintén blokkolják a helyreállíthatóan törölt tárolók helyreállítását. A javítás egy záradékot tartalmaz, amely miatt a szabályzat figyelmen kívül hagyja azokat a kéréseket, amelyeknél a "createMode" értéke "helyreállítás":
Látni fogja, hogy rendelkezik egy záradékkal, amely a szabályzatot csak akkor alkalmazza, ha a "createMode" nem egyenlő a "helyreállítással":
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.KeyVault/vaults"
},
{
"not": {
"field": "Microsoft.Keyvault/vaults/createMode",
"equals": "recover"
}
},
{
"anyOf": [
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"exists": "false"
},
{
"field": "Microsoft.KeyVault/vaults/enableSoftDelete",
"equals": "false"
}
]
}
]
},
"then": {
"effect": "[parameters('effect')]"
}
}
Késés az Azure-szabályzat-hozzárendelés törlésével kapcsolatban a Key Vault
Microsoft.KeyVault.Data: A törölt szabályzat-hozzárendelések kényszerítése akár 24 órát is igénybe vehet.
Kockázatcsökkentés: frissítse a szabályzat-hozzárendelés hatását "Letiltva" értékre.
Titkos kód létrehozása ARM-sablonon keresztül, kihagyva a szabályzat kiértékelését
A titkos kódok létrehozását kiértékelő adatsík-szabályzatok nem alkalmazhatók az ARM-sablonnal a titkos kód létrehozásakor létrehozott titkos kódokra . 24 óra elteltével, amikor az automatikus megfelelőségi ellenőrzés megtörténik, és a megfelelőségi eredmények felülvizsgálhatók.
Következő lépések
- Ismerje meg, hogyan háríthatja el a Azure Policy használatával kapcsolatos hibák elhárítását
- Tudnivalók Azure Policy ismert problémákról