Definições internas da Política do Azure para o Cofre da Chave
Esta página é um índice das definições de política internas da Política do Azure para o Cofre da Chave. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Cofre da Chave (serviço)
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Azure Key Vault Managed HSM deve desativar o acesso à rede pública | Desative o acesso à rede pública para o HSM gerenciado do Azure Key Vault para que ele não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Azure Key Vault Managed HSM deve utilizar ligação privada | O link privado fornece uma maneira de conectar o Azure Key Vault Managed HSM aos seus recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece proteção de defesa em profundidade contra a exfiltração de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Auditoria, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Os certificados devem ser emitidos por uma das autoridades de certificação não integradas especificadas | Gerencie seus requisitos de conformidade organizacional especificando autoridades de certificação personalizadas ou internas que podem emitir certificados em seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Pré-visualização]: Configurar o Azure Key Vault Managed HSM para desativar o acesso à rede pública | Desative o acesso à rede pública para o HSM gerenciado do Azure Key Vault para que ele não esteja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificar, Desativado | 2.0.0-pré-visualização |
| [Pré-visualização]: Configurar o HSM Gerido do Azure Key Vault com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o HSM gerenciado do Azure Key Vault, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| O HSM gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão maliciosa de um HSM gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um insider mal-intencionado em sua organização pode potencialmente excluir e limpar o Azure Key Vault Managed HSM. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM gerenciado do Azure Key Vault excluído suavemente. Ninguém dentro da sua organização ou da Microsoft poderá limpar o HSM gerenciado do Azure Key Vault durante o período de retenção de exclusão suave. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Key Vault deve desativar o acesso à rede pública | Desative o acesso à rede pública para o cofre da chave para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/akvprivatelink. | Auditoria, Negar, Desativado | 1.1.0 |
| O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 3.2.1 |
| O Azure Key Vault deve usar o modelo de permissão RBAC | Habilite o modelo de permissão RBAC nos Cofres de Chaves. Saiba mais em: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Auditoria, Negar, Desativado | 1.0.1 |
| Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
| Os certificados devem ser emitidos pela autoridade de certificação integrada especificada | Gerencie seus requisitos de conformidade organizacional especificando as autoridades de certificação integradas do Azure que podem emitir certificados em seu cofre de chaves, como Digicert ou GlobalSign. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados devem ser emitidos pela autoridade de certificação não integrada especificada | Gerencie seus requisitos de conformidade organizacional especificando uma autoridade de certificação personalizada ou interna que possa emitir certificados em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.1 |
| Os certificados devem ter os gatilhos de ação de tempo de vida especificados | Gerencie seus requisitos de conformidade organizacional especificando se uma ação de tempo de vida do certificado é acionada em uma porcentagem específica de sua vida útil ou em um determinado número de dias antes de sua expiração. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.2.1 |
| Os certificados não devem expirar dentro do número de dias especificado | Gerencie certificados que expirarão dentro de um número especificado de dias para garantir que sua organização tenha tempo suficiente para girar o certificado antes da expiração. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.1 |
| Os certificados devem usar tipos de chave permitidos | Gerencie seus requisitos de conformidade organizacional restringindo os principais tipos permitidos para certificados. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados que usam criptografia de curva elíptica devem ter permitido nomes de curva | Gerencie os nomes de curva elíptica permitidos para certificados ECC armazenados no cofre de chaves. Mais informações podem ser encontradas em https://aka.ms/akvpolicy. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados que usam criptografia RSA devem ter o tamanho mínimo de chave especificado | Gerencie seus requisitos de conformidade organizacional especificando um tamanho mínimo de chave para certificados RSA armazenados em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Configurar os Cofres de Chaves do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar cofres de chaves para ativar o firewall | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Em seguida, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificar, Desativado | 1.1.1 |
| Implantar - Definir configurações de diagnóstico para o espaço de trabalho do Azure Key Vault to Log Analytics | Implanta as configurações de diagnóstico do Cofre de Chaves do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Cofre de Chaves que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.1 |
| Implantar - Definir configurações de diagnóstico para um espaço de trabalho do Log Analytics a ser habilitado no HSM gerenciado do Azure Key Vault | Implanta as configurações de diagnóstico do Azure Key Vault Managed HSM para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer HSM gerenciado do Azure Key Vault que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar - Definir configurações de diagnóstico para um Hub de Eventos a ser habilitado no HSM gerenciado do Azure Key Vault | Implanta as configurações de diagnóstico do HSM Gerenciado do Azure Key Vault para transmitir para um Hub de Eventos regional quando qualquer HSM Gerenciado do Azure Key Vault que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Cofre da Chave no Hub de Eventos | Implanta as configurações de diagnóstico do Cofre da Chave para transmitir para um Hub de Eventos regional quando qualquer Cofre da Chave que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 3.0.1 |
| Implantar configurações de diagnóstico do Cofre de Chaves no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Cofre de Chaves para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Cofre de Chaves que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 3.0.0 |
| Habilitar o registro por grupo de categorias para cofres de chaves (microsoft.keyvault/vaults) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilite o registro por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para cofres de chaves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para HSMs gerenciados (microsoft.keyvault/managedhsms) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
| Habilite o registro em log por grupo de categorias para HSMs gerenciados (microsoft.keyvault/managedhsms) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para HSMs gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Habilite o registro em log por grupo de categorias para HSMs gerenciados (microsoft.keyvault/managedhsms) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para HSMs Gerenciados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
| Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
| O Cofre de Chaves deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cofre de Chaves não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
| As chaves devem ser apoiadas por um módulo de segurança de hardware (HSM) | Um HSM é um módulo de segurança de hardware que armazena chaves. Um HSM fornece uma camada física de proteção para chaves criptográficas. A chave criptográfica não pode deixar um HSM físico que fornece um nível maior de segurança do que uma chave de software. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ser do tipo criptográfico especificado RSA ou EC | Algumas aplicações requerem o uso de chaves apoiadas por um tipo criptográfico específico. Imponha um tipo de chave criptográfica específico, RSA ou EC, em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ter uma política de rotação que garanta que sua rotação seja agendada dentro do número especificado de dias após a criação. | Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias após a criação da chave até que ela seja rotativa. | Auditoria, Desativado | 1.0.0 |
| As chaves devem ter mais do que o número especificado de dias antes da expiração | Se uma chave estiver muito próxima da expiração, um atraso organizacional para girar a chave pode resultar em uma interrupção. As chaves devem ser giradas em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias que uma chave pode ser válida dentro do seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves não devem ficar ativas por mais tempo do que o número especificado de dias | Especifique o número de dias em que uma chave deve estar ativa. As chaves que são usadas por um longo período de tempo aumentam a probabilidade de que um invasor possa comprometer a chave. Como boa prática de segurança, certifique-se de que as suas chaves não estão ativas há mais de dois anos. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves que usam criptografia de curva elíptica devem ter os nomes de curva especificados | As chaves apoiadas por criptografia de curva elíptica podem ter nomes de curva diferentes. Algumas aplicações são compatíveis apenas com teclas de curva elípticas específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves que usam criptografia RSA devem ter um tamanho de chave mínimo especificado | Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a muitos requisitos de certificação do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Os logs de recursos no HSM gerenciado do Azure Key Vault devem ser habilitados | Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida, convém auditar habilitando logs de recursos em HSMs gerenciados. Por favor, siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, desativado | 1.1.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os segredos devem ter o tipo de conteúdo definido | Uma tag de tipo de conteúdo ajuda a identificar se um segredo é uma senha, cadeia de conexão, etc. Segredos diferentes têm requisitos de rotação diferentes. A tag de tipo de conteúdo deve ser definida em segredos. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter mais do que o número especificado de dias antes da expiração | Se um segredo estiver muito perto da expiração, um atraso organizacional para girar o segredo pode resultar em uma interrupção. Os segredos devem ser alternados em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias que um segredo pode ser válido em seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos não devem estar ativos por mais tempo do que o número de dias especificado | Se seus segredos foram criados com uma data de ativação definida no futuro, você deve garantir que seus segredos não estejam ativos por mais tempo do que a duração especificada. | Auditoria, Negar, Desativado | 1.0.1 |
Cofre da Chave (objetos)
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os certificados devem ser emitidos por uma das autoridades de certificação não integradas especificadas | Gerencie seus requisitos de conformidade organizacional especificando autoridades de certificação personalizadas ou internas que podem emitir certificados em seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| Os certificados devem ser emitidos pela autoridade de certificação integrada especificada | Gerencie seus requisitos de conformidade organizacional especificando as autoridades de certificação integradas do Azure que podem emitir certificados em seu cofre de chaves, como Digicert ou GlobalSign. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados devem ser emitidos pela autoridade de certificação não integrada especificada | Gerencie seus requisitos de conformidade organizacional especificando uma autoridade de certificação personalizada ou interna que possa emitir certificados em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.1 |
| Os certificados devem ter os gatilhos de ação de tempo de vida especificados | Gerencie seus requisitos de conformidade organizacional especificando se uma ação de tempo de vida do certificado é acionada em uma porcentagem específica de sua vida útil ou em um determinado número de dias antes de sua expiração. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.2.1 |
| Os certificados não devem expirar dentro do número de dias especificado | Gerencie certificados que expirarão dentro de um número especificado de dias para garantir que sua organização tenha tempo suficiente para girar o certificado antes da expiração. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.1 |
| Os certificados devem usar tipos de chave permitidos | Gerencie seus requisitos de conformidade organizacional restringindo os principais tipos permitidos para certificados. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados que usam criptografia de curva elíptica devem ter permitido nomes de curva | Gerencie os nomes de curva elíptica permitidos para certificados ECC armazenados no cofre de chaves. Mais informações podem ser encontradas em https://aka.ms/akvpolicy. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| Os certificados que usam criptografia RSA devem ter o tamanho mínimo de chave especificado | Gerencie seus requisitos de conformidade organizacional especificando um tamanho mínimo de chave para certificados RSA armazenados em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.1.0 |
| As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
| Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
| As chaves devem ser apoiadas por um módulo de segurança de hardware (HSM) | Um HSM é um módulo de segurança de hardware que armazena chaves. Um HSM fornece uma camada física de proteção para chaves criptográficas. A chave criptográfica não pode deixar um HSM físico que fornece um nível maior de segurança do que uma chave de software. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ser do tipo criptográfico especificado RSA ou EC | Algumas aplicações requerem o uso de chaves apoiadas por um tipo criptográfico específico. Imponha um tipo de chave criptográfica específico, RSA ou EC, em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ter uma política de rotação que garanta que sua rotação seja agendada dentro do número especificado de dias após a criação. | Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias após a criação da chave até que ela seja rotativa. | Auditoria, Desativado | 1.0.0 |
| As chaves devem ter mais do que o número especificado de dias antes da expiração | Se uma chave estiver muito próxima da expiração, um atraso organizacional para girar a chave pode resultar em uma interrupção. As chaves devem ser giradas em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias que uma chave pode ser válida dentro do seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves não devem ficar ativas por mais tempo do que o número especificado de dias | Especifique o número de dias em que uma chave deve estar ativa. As chaves que são usadas por um longo período de tempo aumentam a probabilidade de que um invasor possa comprometer a chave. Como boa prática de segurança, certifique-se de que as suas chaves não estão ativas há mais de dois anos. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves que usam criptografia de curva elíptica devem ter os nomes de curva especificados | As chaves apoiadas por criptografia de curva elíptica podem ter nomes de curva diferentes. Algumas aplicações são compatíveis apenas com teclas de curva elípticas específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. | Auditoria, Negar, Desativado | 1.0.1 |
| As chaves que usam criptografia RSA devem ter um tamanho de chave mínimo especificado | Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a muitos requisitos de certificação do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter o tipo de conteúdo definido | Uma tag de tipo de conteúdo ajuda a identificar se um segredo é uma senha, cadeia de conexão, etc. Segredos diferentes têm requisitos de rotação diferentes. A tag de tipo de conteúdo deve ser definida em segredos. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter mais do que o número especificado de dias antes da expiração | Se um segredo estiver muito perto da expiração, um atraso organizacional para girar o segredo pode resultar em uma interrupção. Os segredos devem ser alternados em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos devem ter o período máximo de validade especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias que um segredo pode ser válido em seu cofre de chaves. | Auditoria, Negar, Desativado | 1.0.1 |
| Os segredos não devem estar ativos por mais tempo do que o número de dias especificado | Se seus segredos foram criados com uma data de ativação definida no futuro, você deve garantir que seus segredos não estejam ativos por mais tempo do que a duração especificada. | Auditoria, Negar, Desativado | 1.0.1 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.