你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
密钥保管库的 Azure Policy 内置定义
此页是密钥保管库的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
密钥保管库(服务)
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Azure Key Vault 托管 HSM 应禁用公用网络访问 | 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:Azure Key Vault 托管 HSM 应使用专用链接 | 专用链接提供了一种将 Azure Key Vault 托管 HSM 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 了解详细信息:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit、Disabled | 1.0.0-preview |
| [预览版]:证书应由指定的非集成证书颁发机构之一颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | Audit、Deny、Disabled | 1.0.0-preview |
| [预览]:配置 Azure Key Vault 托管 HSM 以禁用公用网络访问 | 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm。 | 修改,已禁用 | 2.0.0-preview |
| [预览]:为 Azure Key Vault 托管 HSM 配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Key Vault 托管 HSM,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| Azure Key Vault 托管的 HSM 应启用清除保护 | 恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。 | Audit、Deny、Disabled | 1.0.0 |
| Azure 密钥保管库应禁用公用网络访问 | 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/akvprivatelink。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| Azure Key Vault 应使用 RBAC 权限模型 | 跨 Key Vault 启用 RBAC 权限模型。 了解详细信息:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit、Deny、Disabled | 1.0.1 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| 证书应由指定的集成证书颁发机构颁发 | 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应由指定的非集成证书颁发机构颁发 | 通过指定一个可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 证书在指定的天数内不应过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 为 Azure 密钥保管库配置专用终结点 | 在没有公共 IP 地址的情况下,专用终结点可在源或目标位置将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置密钥保管库以启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 然后,可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改,已禁用 | 1.1.1 |
| 部署 - 为 Azure Key Vault 配置诊断设置,以便将资源日志流式传输到 Log Analytics 工作区 | 为 Azure Key Vault 部署诊断设置,以便在创建或更新缺少此诊断设置的任何密钥保管库时,将资源日志流式传输到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 2.0.1 |
| 部署 - 配置要在 Azure 密钥保管库托管的 HSM 上启用的 Log Analytics 工作区的诊断设置 | 当创建或更新缺少此诊断设置的任何 Azure Key Vault 托管的 HSM 时,部署 Azure Key Vault 托管的 HSM 的诊断设置以流式传输到区域 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 1.0.0 |
| 部署 - 配置要在 Azure Key Vault 管理的 HSM 上启用的事件中心的诊断设置 | 部署 Azure Key Vault 管理的 HSM 的诊断设置,以便在创建或更新任何缺少此诊断设置的 Azure Key Vault 管理的 HSM 时,将诊断设置流式传输到区域事件中心。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将 Key Vault 的诊断设置部署到事件中心 | 创建或更新缺少此诊断设置的任何 Key Vault 时,部署 Key Vault 的诊断设置,以便流式传输到区域事件中心。 | DeployIfNotExists、Disabled | 3.0.1 |
| 将 Key Vault 的诊断设置部署到 Log Analytics 工作区 | 在创建或更新缺少 Key Vault 的诊断设置的 Key Vault 时,将此诊断设置流式部署到 Log Analytics 工作区。 | DeployIfNotExists、Disabled | 3.0.0 |
| 按类别组为密钥保管库 (microsoft.keyvault/vaults) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便为密钥保管库 (microsoft.keyvault/vaults) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 为密钥保管库 (microsoft.keyvault/vaults) 启用按类别组记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到密钥保管库 (microsoft.keyvault/vaults) 的 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为密钥保管库 (microsoft.keyvault/vaults) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为密钥保管库 (microsoft.keyvault/vaults) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为托管 HSM (microsoft.keyvault/managedhsms) 启用到事件中心的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便为托管 HSM (microsoft.keyvault/managedhsms) 将日志路由到事件中心。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 按类别组为托管 HSM (microsoft.keyvault/managedhsms) 启用到 Log Analytics 的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便为托管 HSM (microsoft.keyvault/managedhsms) 将日志路由到 Log Analytics 工作区。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 按类别组为托管 HSM (microsoft.keyvault/managedhsms) 启用到存储的日志记录 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,为托管 HSM (microsoft.keyvault/managedhsms) 将日志路由到存储账户。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
| 密钥保管库应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
| 密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.0.0 |
| 密钥应由硬件安全模块 (HSM) 提供支持 | HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应具有轮换策略,确保在创建后的指定天数内安排其轮换。 | 指定密钥创建之后、必须进行轮换之前的最大天数,从而管理组织的合规性要求。 | Audit、Disabled | 1.0.0 |
| 密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
| 使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
| 使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应启用 Azure Key Vault 托管 HSM 中的资源日志 | 若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用,你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists、Disabled | 1.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应为机密设置内容类型 | 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
| 机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| 机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
密钥保管库(对象)
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:证书应由指定的非集成证书颁发机构之一颁发 | 通过指定可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | Audit、Deny、Disabled | 1.0.0-preview |
| 证书应由指定的集成证书颁发机构颁发 | 通过指定可以在密钥保管库(如 Digicert 或 GlobalSign)中颁发证书的 Azure 集成证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应由指定的非集成证书颁发机构颁发 | 通过指定一个可以在密钥保管库中颁发证书的自定义或内部证书颁发机构,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应具有指定的生存期操作触发器 | 通过指定证书生存期操作是在生存期的特定百分比处触发,还是在到期前提前特定天数触发,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 证书在指定的天数内不应过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.1 |
| 证书应使用允许的密钥类型 | 通过限制允许用于证书的密钥类型,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用椭圆曲线加密的证书应使用允许的曲线名称 | 管理密钥保管库中存储的 ECC 证书可用的椭圆曲线名称。 可在 https://aka.ms/akvpolicy 找到更多信息。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| 使用 RSA 加密的证书应具有指定的最小密钥大小 | 通过指定存储在密钥保管库中的 RSA 证书的最小密钥大小,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.1.0 |
| Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| 密钥应由硬件安全模块 (HSM) 提供支持 | HSM 是存储密钥的硬件安全模块。 HSM 为加密密钥提供物理保护层。 加密密钥不能离开物理 HSM,物理 HSM 提供比软件密钥更高的安全级别。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应为指定的加密类型 RSA 或 EC | 某些应用程序需要使用特定加密类型支持的密钥。 在你的环境中强制使用特定加密密钥类型:RSA 或 EC。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应具有轮换策略,确保在创建后的指定天数内安排其轮换。 | 指定密钥创建之后、必须进行轮换之前的最大天数,从而管理组织的合规性要求。 | Audit、Disabled | 1.0.0 |
| 密钥的剩余有效期应超过指定的天数 | 如果密钥临近到期,组织延迟轮换密钥可能会导致服务中断。 应在密钥到期前指定的天数轮换密钥,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | Audit、Deny、Disabled | 1.0.1 |
| 使用椭圆曲线加密的密钥应使用指定的曲线名称 | 椭圆曲线加密支持的密钥可以具有不同的曲线名称。 某些应用程序仅与特定椭圆曲线密钥兼容。 强制使用可在你的环境中创建的椭圆曲线密钥类型。 | Audit、Deny、Disabled | 1.0.1 |
| 使用 RSA 加密的密钥应具有指定的最小密钥大小 | 设置用于密钥保管库的最小允许密钥大小。 使用密钥大小较小的 RSA 密钥并非安全的做法,不符合许多行业认证要求。 | Audit、Deny、Disabled | 1.0.1 |
| 应为机密设置内容类型 | 内容类型标记可帮助标识机密是否是密码、连接字符串等。不同机密具有不同的轮换要求。 应为机密设置内容类型标记。 | Audit、Deny、Disabled | 1.0.1 |
| 机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | Audit、Deny、Disabled | 1.0.1 |
| 机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | Audit、Deny、Disabled | 1.0.1 |
| 机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | Audit、Deny、Disabled | 1.0.1 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。