SKILL.md
readonlyread-only
name
azure-compliance
description
使用 azqr 和 Key Vault 到期檢查來執行 Azure 合規性與安全性稽核。涵蓋最佳做法評估、資源審查、原則/合規性驗證以及安全態勢檢查。使用時機:合規掃描、安全性稽核、執行 azqr(合規 CLI 工具)之前、Azure 最佳做法、Key Vault 到期檢查、已過期憑證、即將到期祕密、孤立資源、合規評估。
Azure 合規性與安全性稽核
快速參考
| 屬性 | 詳細資訊 |
|---|---|
| 最佳用途 | 合規掃描、安全性稽核、Key Vault 到期檢查 |
| 主要功能 | 全面資源評估、Key Vault 到期監控 |
| MCP 工具 | azqr、訂用帳戶與資源群組清單、Key Vault 項目檢查 |
何時使用此技能
- 執行 azqr 或 Azure Quick Review 進行合規評估
- 根據最佳做法驗證 Azure 資源設定
- 識別孤立或設定錯誤的資源
- 稽核 Key Vault 的金鑰、祕密和憑證是否到期
技能觸發條件
當使用者想要以下操作時,啟動此技能:
- 檢查 Azure 合規性或最佳做法
- 評估 Azure 資源是否有設定問題
- 執行 azqr 或 Azure Quick Review
- 識別孤立或設定錯誤的資源
- 檢閱 Azure 安全態勢
- 「顯示我 Key Vault 中已過期的憑證/金鑰/祕密」
- 「檢查未來 30 天內到期的項目」
- 「稽核我的 Key Vault 合規性」
- 「尋找沒有到期日的祕密」
- 「檢查憑證到期日」
先決條件
- 驗證:使用者已透過
az login登入 Azure - 權限:能夠讀取資源設定和 Key Vault 中繼資料
評估項目
| 評估項目 | 參考文件 |
|---|---|
| 全面合規性 (azqr) | references/azure-quick-review.md |
| Key Vault 到期 | references/azure-keyvault-expiration-audit.md |
| 資源圖表查詢 | references/azure-resource-graph.md |
MCP 工具
| 工具 | 用途 |
|---|---|
mcp_azure_mcp_extension_azqr |
執行 azqr 合規掃描 |
mcp_azure_mcp_subscription_list |
列出可用的訂用帳戶 |
mcp_azure_mcp_group_list |
列出資源群組 |
keyvault_key_list |
列出保存庫中的所有金鑰 |
keyvault_key_get |
取得金鑰詳細資訊(包含到期日) |
keyvault_secret_list |
列出保存庫中的所有祕密 |
keyvault_secret_get |
取得祕密詳細資訊(包含到期日) |
keyvault_certificate_list |
列出保存庫中的所有憑證 |
keyvault_certificate_get |
取得憑證詳細資訊(包含到期日) |
評估工作流程
- 選取全面資源評估的範圍(訂用帳戶或資源群組)。
- 執行 azqr 並擷取輸出成品。
- 分析掃描結果,並摘要說明發現事項與建議。
- 檢閱 Key Vault 到期監控輸出中的金鑰、祕密和憑證。
- 分類問題,並針對每個發現事項提出補救或修正步驟。
優先順序分類
| 優先順序 | 指引 |
|---|---|
| 嚴重 | 需立即補救高影響的暴露風險 |
| 高 | 在數天內解決以降低風險 |
| 中 | 規劃在下一個衝刺中解決 |
| 低 | 在定期維護期間追蹤並修正 |
錯誤處理
| 錯誤 | 訊息 | 補救措施 |
|---|---|---|
| 需要驗證 | 「請登入」 | 執行 az login 並重試 |
| 拒絕存取 | 「禁止」 | 確認權限並修正角色指派 |
| 找不到資源 | 「找不到」 | 驗證訂用帳戶和資源群組選取 |
最佳做法
- 定期執行合規掃描(每週或每月)
- 追蹤一段時間內的發現事項,並驗證補救措施的有效性
- 將合規報告與補救執行分開
- 記錄並強制執行 Key Vault 到期原則
SDK 快速參考
如需程式化存取 Key Vault,請參閱精簡的 SDK 指南:
- Key Vault (Python):Secrets/Keys/Certs
- Secrets:TypeScript | Rust | Java
- Keys:.NET | Java | TypeScript | Rust
- Certificates:Rust






