内置策略不允许进行 Key Vault 恢复答案

【问题标题】：Key Vault recovery disallowed by built-in policy内置策略不允许进行 Key Vault 恢复
【发布时间】：2021-04-15 10:33:58
【问题描述】：

问题：无法恢复已删除的密钥保管库。

分配的策略：“密钥保管库应启用清除保护”

策略定义 ID：“/providers/Microsoft.Authorization/policyDefinitions/0b60c0b2-2dc2-4e1c-b5c9-abbed971de53”

政策效果：“拒绝”

即使“enableSoftDelete”在删除前设置为 true，但在已删除列表中，该属性不再存在。尝试恢复 Vault 时，策略被触发，并且它没有通过检查“enableSoftDelete”属性是否存在，因此只要策略效果设置为拒绝，就不允许恢复。

我不确定这是一个错误还是我做错了什么。

删除前的 Key Vault 属性

删除后的 Key Vault 属性

Policy If 语句块

【问题讨论】：

尝试恢复保管库时的实际响应是什么？我不是策略专家，但条件是 enableSoftDelete == false，如果不存在则不是。为什么 if/anyOf 块中有多个相同条件？我觉得这比我们看到的要多。

【解决方案1】：

在 Azure 门户中更改设置后总会有一个延迟。您最好在删除之前在 Azure Key Vault 中检查是否启用了软删除，请参阅here。

如果真的启用了软删除，您可以尝试使用 Azure CLI 键入 delete 和 recover 键。

注意：您必须添加具有删除和恢复权限的访问策略，否则将返回拒绝访问。

【讨论】：

如果我的回复有帮助，请采纳为答案（点击回复旁边的标记选项将其从灰色切换为填写。），请参阅meta.stackexchange.com/questions/5234/…
嗨，帕梅拉，抱歉耽搁了。不幸的是，这与审核软删除属性无关。我有 2 个策略来确保用户在没有启用软删除和清除保护的情况下无法创建密钥库。根本问题是，在删除启用了 softdelete 和 purgeprotection 的 keyvault 后，“enableSoftDelete”参数消失了，因此，“enablePurgeProtection”策略阻止了 vault 的恢复。该策略设置为拒绝，而不是审核。将其更改为审核“解决”了问题，但这不是解决方案。