Azure 原則 金鑰保存庫的內建定義
此頁面是 金鑰保存庫 Azure 原則 內建原則定義的索引。 如需其他服務的其他內建 Azure 原則,請參閱 Azure 原則內建定義。
連結至 Azure 入口網站中原則定義的每個內建原則定義名稱。 使用 [版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
金鑰保存庫 (服務)
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:Azure 金鑰保存庫 受控 HSM 應停用公用網络存取 | 停用 Azure 金鑰保存庫 受控 HSM 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:Azure 金鑰保存庫 受控 HSM 應該使用私人連結 | 私人連結可讓您將 Azure 金鑰保存庫 受控 HSM 連線到您的 Azure 資源,而不需透過公用因特網傳送流量。 私人連結提供深層防禦保護,以防止資料外流。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
[預覽]: 憑證應該由其中一個指定的非整合式證書頒發機構單位發行 | 藉由指定可在金鑰保存庫中發行憑證的自定義或內部證書頒發機構單位,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.0-preview |
[預覽]:設定 Azure 金鑰保存庫 受控 HSM 以停用公用網络存取 | 停用 Azure 金鑰保存庫 受控 HSM 的公用網路存取,使其無法透過公用因特網存取。 這可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | 修改、停用 | 2.0.0-preview |
[預覽]:使用私人端點設定 Azure 金鑰保存庫 受控 HSM | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure 金鑰保存庫 受控 HSM,您可以降低數據外泄風險。 深入了解:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。 | DeployIfNotExists, Disabled | 1.0.0-preview |
Azure Key Vault 受控 HSM 應啟用清除保護 | 惡意刪除 Azure Key Vault 受控 HSM 可能會導致永久的資料遺失。 您組織中可能有惡意的內部人員能夠刪除和清除 Azure Key Vault 受控 HSM。 清除保護可對虛刪除的 Azure Key Vault 受控 HSM 強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的 Azure Key Vault 受控 HSM。 | Audit, Deny, Disabled | 1.0.0 |
Azure Key Vault 應停用公用網路存取 | 停用金鑰保存庫的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/akvprivatelink。 | Audit, Deny, Disabled | 1.1.0 |
Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Azure Key Vault 應該使用 RBAC 權限模型 | 跨 金鑰保存庫 啟用 RBAC 許可權模型。 深入了解:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
憑證應由指定的整合式憑證授權單位發行 | 指定可在您的密鑰保存庫中發行憑證的 Azure 整合式證書頒發機構單位,例如 Digicert 或 GlobalSign,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應由指定的非整合式憑證授權位單位發行 | 藉由指定一個可在密鑰保存庫中發行憑證的自定義或內部證書頒發機構單位,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應具有指定的存留期動作觸發程序 | 藉由指定憑證存留期動作是在其存留期的特定百分比或到期前的特定天數觸發,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
憑證不應在指定的天數內過期 | 管理將在指定天數內到期的憑證,以確保貴組織有足夠的時間在到期前輪替憑證。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應使用允許的金鑰類型 | 藉由限制憑證允許的密鑰類型來管理組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用橢圓曲線密碼編譯的憑證應該有允許的曲線名稱 | 管理金鑰保存庫中所儲存 ECC 憑證的允許橢圓曲線名稱。 如需詳細資訊,請參閱 https://aka.ms/akvpolicy。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小 | 為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小,以管理組織的合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用私人端點設定 Azure 金鑰保存庫 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | DeployIfNotExists, Disabled | 1.0.1 |
設定金鑰保存庫以啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 接著,您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改、停用 | 1.1.1 |
部署 - 設定 Azure 金鑰保存庫 至 Log Analytics 工作區的診斷設定 | 部署 Azure 金鑰保存庫 的診斷設定,以在建立或更新遺漏此診斷設定的任何 金鑰保存庫 時,將資源記錄串流至 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 2.0.1 |
部署 - 將診斷設定設定設定為在 Azure 金鑰保存庫 受控 HSM 上啟用的 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何 Azure 金鑰保存庫 受控 HSM 時,將 Azure 金鑰保存庫 Managed HSM 的診斷設定部署至區域 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.0.0 |
部署 - 將診斷設定設定為在 Azure 金鑰保存庫 受控 HSM 上啟用的事件中樞 | 當建立或更新遺漏此診斷設定的任何 Azure 金鑰保存庫 受控 HSM 時,部署 Azure 金鑰保存庫 受控 HSM 的診斷設定,以串流至區域事件中樞。 | DeployIfNotExists, Disabled | 1.0.0 |
將 金鑰保存庫 診斷 設定 部署至事件中樞 | 當建立或更新遺漏此診斷設定的任何 金鑰保存庫 時,將 金鑰保存庫 的診斷設定部署至區域事件中樞。 | DeployIfNotExists, Disabled | 3.0.1 |
將 Key Vault 的診斷設定部署至 Log Analytics 工作區 | 當建立或更新遺漏此診斷設定的任何 金鑰保存庫 時,將 金鑰保存庫 的診斷設定部署至區域Log Analytics工作區。 | DeployIfNotExists, Disabled | 3.0.0 |
針對密鑰保存庫(microsoft.keyvault/vaults)啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至密鑰保存庫的事件中樞(microsoft.keyvault/vaults)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對 Key Vaults 啟用依類別群組的記錄功能(microsoft.keyvault/vaults) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至密鑰保存庫的 Log Analytics 工作區(microsoft.keyvault/vaults)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
啟用依類別群組記錄金鑰保存庫 (microsoft.keyvault/vaults) 以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至密鑰保存庫的 儲存體 帳戶(microsoft.keyvault/vaults)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 HSM(microsoft.keyvault/managedhsms) 的類別群組啟用記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至受控 HSM 的事件中樞(microsoft.keyvault/managedhsms)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
針對受控 HSM 啟用依類別群組的記錄功能(microsoft.keyvault/managedhsms) 至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至受控 HSM 的 Log Analytics 工作區(microsoft.keyvault/managedhsms)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
針對受控 HSM 啟用依類別群組的記錄功能(microsoft.keyvault/managedhsms),以 儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組來部署診斷設定,以將記錄路由傳送至受控 HSM 的 儲存體 帳戶(microsoft.keyvault/managedhsms)。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.0.0 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
Key Vault 應該使用虛擬網路服務端點 | 此原則會稽核未設定為使用虛擬網路服務端點的任何 金鑰保存庫。 | Audit, Disabled | 1.0.0 |
金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
金鑰應採用硬體安全性模組 (HSM) | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。 密碼編譯金鑰無法讓實體 HSM 提供比軟體密鑰更高的安全性層級。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應為指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用特定密碼編譯類型所支援的金鑰。 在您的環境中強制執行特定的密碼編譯密鑰類型 RSA 或 EC。 | Audit, Deny, Disabled | 1.0.1 |
密鑰應該有輪替原則,以確保其輪替排程在建立后的指定天數內。 | 指定密鑰建立後的天數上限,以管理組織的合規性需求,直到必須輪替為止。 | Audit, Disabled | 1.0.0 |
金鑰的天數應大於指定的到期前天數 | 如果金鑰太接近到期日,則組織若延遲輪替金鑰,可能會導致中斷。 金鑰應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應具有指定的最大有效期間 | 藉由指定金鑰在金鑰保存庫中有效天數內的最大時間量,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
金鑰的使用時間不應超過指定天數 | 指定金鑰應為使用中的天數。 長時間使用的金鑰會增加攻擊者可能危害金鑰的機率。 作為良好的安全性做法,請確定您的密鑰未使用時間超過兩年。 | Audit, Deny, Disabled | 1.0.1 |
使用橢圓曲線密碼編譯的金鑰應具有指定的曲線名稱 | 橢圓曲線密碼編譯所支援的金鑰可以有不同的曲線名稱。 某些應用程式只與特定的橢圓曲線索引鍵相容。 強制執行環境中允許建立的橢圓曲線索引鍵類型。 | Audit, Deny, Disabled | 1.0.1 |
使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小 | 設定最小允許的金鑰大小,以搭配您的金鑰保存庫使用。 使用具有小型密鑰大小的 RSA 金鑰並非安全的做法,而且不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1 |
應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 若要在發生安全性事件或網路遭到入侵時,重新建立活動軌跡以供調查之用,您可能會想要在受控 HSM 上啟用資源記錄來進行稽核。 請遵照這裡的指示進行:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists, Disabled | 1.1.0 |
應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
祕密應設定內容類型 | 內容類型標籤可協助識別秘密是否為密碼、連接字串 等。不同的秘密有不同的輪替需求。 內容類型標籤應該在秘密上設定。 | Audit, Deny, Disabled | 1.0.1 |
祕密的天數應大於指定的到期前天數 | 如果秘密太接近到期,則輪替秘密的組織延遲可能會導致中斷。 秘密應在到期前的指定天數輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
祕密應具有指定的最大有效期間 | 藉由指定秘密可在密鑰保存庫中有效天數內的最大時間,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
祕密的使用時間不應超過指定天數 | 如果您的秘密是在未來設定啟用日期所建立,您必須確定您的秘密未使用中超過指定的持續時間。 | Audit, Deny, Disabled | 1.0.1 |
金鑰保存庫 (物件)
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]: 憑證應該由其中一個指定的非整合式證書頒發機構單位發行 | 藉由指定可在金鑰保存庫中發行憑證的自定義或內部證書頒發機構單位,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.0-preview |
憑證應由指定的整合式憑證授權單位發行 | 指定可在您的密鑰保存庫中發行憑證的 Azure 整合式證書頒發機構單位,例如 Digicert 或 GlobalSign,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應由指定的非整合式憑證授權位單位發行 | 藉由指定一個可在密鑰保存庫中發行憑證的自定義或內部證書頒發機構單位,來管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應具有指定的存留期動作觸發程序 | 藉由指定憑證存留期動作是在其存留期的特定百分比或到期前的特定天數觸發,以管理您的組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
憑證不應在指定的天數內過期 | 管理將在指定天數內到期的憑證,以確保貴組織有足夠的時間在到期前輪替憑證。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.1 |
憑證應使用允許的金鑰類型 | 藉由限制憑證允許的密鑰類型來管理組織合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用橢圓曲線密碼編譯的憑證應該有允許的曲線名稱 | 管理金鑰保存庫中所儲存 ECC 憑證的允許橢圓曲線名稱。 如需詳細資訊,請參閱 https://aka.ms/akvpolicy。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
使用 RSA 密碼編譯的憑證應具有指定的最小金鑰大小 | 為儲存在金鑰保存庫中的 RSA 憑證指定最小金鑰大小,以管理組織的合規性需求。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 2.1.0 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
金鑰應採用硬體安全性模組 (HSM) | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。 密碼編譯金鑰無法讓實體 HSM 提供比軟體密鑰更高的安全性層級。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應為指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用特定密碼編譯類型所支援的金鑰。 在您的環境中強制執行特定的密碼編譯密鑰類型 RSA 或 EC。 | Audit, Deny, Disabled | 1.0.1 |
密鑰應該有輪替原則,以確保其輪替排程在建立后的指定天數內。 | 指定密鑰建立後的天數上限,以管理組織的合規性需求,直到必須輪替為止。 | Audit, Disabled | 1.0.0 |
金鑰的天數應大於指定的到期前天數 | 如果金鑰太接近到期日,則組織若延遲輪替金鑰,可能會導致中斷。 金鑰應在到期前的指定天數內輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
金鑰應具有指定的最大有效期間 | 藉由指定金鑰在金鑰保存庫中有效天數內的最大時間量,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
金鑰的使用時間不應超過指定天數 | 指定金鑰應為使用中的天數。 長時間使用的金鑰會增加攻擊者可能危害金鑰的機率。 作為良好的安全性做法,請確定您的密鑰未使用時間超過兩年。 | Audit, Deny, Disabled | 1.0.1 |
使用橢圓曲線密碼編譯的金鑰應具有指定的曲線名稱 | 橢圓曲線密碼編譯所支援的金鑰可以有不同的曲線名稱。 某些應用程式只與特定的橢圓曲線索引鍵相容。 強制執行環境中允許建立的橢圓曲線索引鍵類型。 | Audit, Deny, Disabled | 1.0.1 |
使用 RSA 密碼編譯的金鑰應具有指定的最小金鑰大小 | 設定最小允許的金鑰大小,以搭配您的金鑰保存庫使用。 使用具有小型密鑰大小的 RSA 金鑰並非安全的做法,而且不符合許多產業認證需求。 | Audit, Deny, Disabled | 1.0.1 |
祕密應設定內容類型 | 內容類型標籤可協助識別秘密是否為密碼、連接字串 等。不同的秘密有不同的輪替需求。 內容類型標籤應該在秘密上設定。 | Audit, Deny, Disabled | 1.0.1 |
祕密的天數應大於指定的到期前天數 | 如果秘密太接近到期,則輪替秘密的組織延遲可能會導致中斷。 秘密應在到期前的指定天數輪替,以提供足夠的時間來回應失敗。 | Audit, Deny, Disabled | 1.0.1 |
祕密應具有指定的最大有效期間 | 藉由指定秘密可在密鑰保存庫中有效天數內的最大時間,來管理組織合規性需求。 | Audit, Deny, Disabled | 1.0.1 |
祕密的使用時間不應超過指定天數 | 如果您的秘密是在未來設定啟用日期所建立,您必須確定您的秘密未使用中超過指定的持續時間。 | Audit, Deny, Disabled | 1.0.1 |
下一步
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
- 檢閱 Azure 原則定義結構。
- 檢閱了解原則效果。