Konfigurace upozornění služby Azure Key Vault

Jakmile začnete používat Azure Key Vault k ukládání produkčních tajných kódů, je důležité monitorovat stav trezoru klíčů, abyste měli jistotu, že vaše služba funguje podle očekávání.

Když začnete škálovat službu, zvýší se počet požadavků odeslaných do trezoru klíčů. Tento nárůst může zvýšit latenci vašich požadavků. Vextrémních Potřebujete také vědět, jestli trezor klíčů odesílá neobvyklý počet kódů chyb, abyste mohli rychle zvládnout všechny problémy se zásadami přístupu nebo konfigurací brány firewall.

V tomto článku se dozvíte, jak nakonfigurovat výstrahy při zadaných prahových hodnotách, abyste mohli upozornit tým, aby okamžitě udělal akci, pokud je váš trezor klíčů v pořádku. Můžete nakonfigurovat upozornění, která posílají e-mail (nejlépe do distribučního seznamu týmu), aktivujte oznámení služby Azure Event Grid nebo zavolejte nebo pošlete text na telefonní číslo.

Můžete si vybrat mezi těmito typy výstrah:

• Statická výstraha založená na pevné hodnotě
• Dynamická výstraha, která vás upozorní, pokud monitorovaná metrika překročí průměrný limit trezoru klíčů, určitou dobu v rámci definovaného časového rozsahu

Důležité

Zahájení odesílání oznámení může trvat až 10 minut.

Tento článek se zaměřuje na upozornění pro službu Key Vault. Informace o přehledech služby Key Vault, které kombinuje protokoly i metriky za účelem zajištění globálního řešení monitorování, najdete v tématu Monitorování trezoru klíčů pomocí přehledů služby Key Vault.

Konfigurace skupiny akcí

Skupina akcí je konfigurovatelný seznam oznámení a vlastností. Prvním krokem při konfiguraci upozornění je vytvoření skupiny akcí a volba typu upozornění:

1. Přihlaste se k portálu Azure.

2. Ve vyhledávacím poli vyhledejte výstrahy .

3. Vyberte Spravovat akce.

   

4. Vyberte + Přidat skupinu akcí.

   

5. Zvolte hodnotu Typu akce pro vaši skupinu akcí. V tomto příkladu vytvoříme e-mail a sms upozornění. Vyberte e-mail, SMS, nabízené oznámení nebo hlas.

   

6. V dialogovém okně zadejte podrobnosti e-mailu a SMS a pak vyberte OK.

   

Konfigurace prahových hodnot upozornění

Dále vytvořte pravidlo a nakonfigurujte prahové hodnoty, které aktivují upozornění:

1. Na webu Azure Portal vyberte prostředek trezoru klíčů a pak v části Monitorování vyberte Výstrahy.

   

2. Vyberte Nové pravidlo upozornění.

   

3. Vyberte rozsah pravidla upozornění. Můžete vybrat jeden trezor nebo více trezorů.

   Důležité

   Při výběru více trezorů pro obor výstrahy musí být všechny vybrané trezory ve stejné oblasti. Musíte nakonfigurovat samostatná pravidla upozornění pro trezory v různých oblastech.

   

4. Vyberte prahové hodnoty, které definují logiku pro upozornění, a pak vyberte Přidat. Tým služby Key Vault doporučuje nakonfigurovat následující prahové hodnoty pro většinu aplikací, ale můžete je upravit podle potřeb vaší aplikace:

   • Dostupnost služby Key Vault klesne pod 100 % (statická prahová hodnota)

   Důležité

   Tato výstraha aktuálně nesprávně zahrnuje dlouhotrvající operace a hlásí je jako nedostupnou službu. Můžete monitorovat protokoly služby Key Vault a zjistit, jestli se operace nedaří kvůli nedostupnosti služby.

   • Latence služby Key Vault je větší než 1 000 ms (statická prahová hodnota)

   Poznámka:

   Záměrem prahové hodnoty 1000 ms je oznámit, že služba Key Vault v této oblasti má úlohu vyšší než průměr. Naše smlouva SLA pro operace služby Key Vault je několikrát vyšší, viz smlouva o úrovni služeb pro online služby pro aktuální smlouvu SLA. Pokud chcete upozornit, když jsou operace služby Key Vault mimo smlouvu SLA, použijte prahové hodnoty z dokumentů SLA.

   • Celková sytost trezoru je větší než 75 procent (statická prahová hodnota)
   • Celková sytost trezoru překračuje průměr (dynamická prahová hodnota)
   • Celkový počet kódů chyb je vyšší než průměr (dynamická prahová hodnota)

   

Příklad: Konfigurace prahové hodnoty statické výstrahy pro latenci

1. Jako název signálu vyberte celkovou latenci rozhraní API služby.

   

2. Použijte následující konfigurační parametry:

   • Nastavte prahovou hodnotu na statickou.
   • Nastavte operátor na větší než.
   • Nastavte typ agregace na Průměr.
   • Nastavte prahovou hodnotu na 1000.
   • Nastavte členitost agregace (období) na 5 minut.
   • Nastavte frekvenci vyhodnocování na každých 1 minutu.

   

3. Vyberte Hotovo.

Příklad: Konfigurace prahové hodnoty dynamického upozornění pro sytost trezoru

Když použijete dynamické upozornění, budete moct zobrazit historická data vybraného trezoru klíčů. Modrá oblast představuje průměrné využití trezoru klíčů. Červená oblast ukazuje špičky, které by aktivovaly výstrahu, pokud byla splněna jiná kritéria v konfiguraci výstrahy. Červené tečky zobrazují výskyty porušení, ve kterých byla během agregovaného časového intervalu splněna kritéria pro výstrahu.

Výstrahu můžete nastavit tak, aby se aktivovalo po určitém počtu porušení v nastaveném čase. Pokud nechcete zahrnout předchozí data, můžete je vyloučit v upřesňujícím nastavení.

1. Použijte následující konfigurační parametry:

   • Nastavte název dimenze na typ transakce a hodnoty dimenzí na trezoroperace.
   • Nastavte prahovou hodnotu na dynamickou.
   • Nastavte operátor na větší než.
   • Nastavte typ agregace na Průměr.
   • Nastavte citlivost prahové hodnoty na střední.
   • Nastavte členitost agregace (období) na 5 minut.
   • Nastavte frekvenci vyhodnocování na každých 5 minut.
   • Konfigurace upřesňujícího nastavení (volitelné)

   

2. Vyberte Hotovo.

3. Vyberte Přidat a přidejte skupinu akcí, kterou jste nakonfigurovali.

   

4. V podrobnostech výstrahy povolte výstrahu a přiřaďte závažnost.

   

5. Vytvořte výstrahu.

Příklad e-mailové výstrahy

Pokud jste postupovali podle všech předchozích kroků, obdržíte e-mailová upozornění, když váš trezor klíčů splňuje nakonfigurovaná kritéria upozornění. Příkladem je následující e-mailová výstraha.

Příklad: Upozornění dotazu protokolu pro certifikáty s blížícím se vypršením platnosti

Můžete nastavit upozornění, které vás upozorní na certifikáty, jejichž platnost brzy vyprší.

Poznámka:

Události blížící se vypršení platnosti certifikátů se protokolují 30 dní před vypršením platnosti.

1. Přejděte na Protokoly a vložte následující dotaz do okna dotazu.

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. Výběr nového pravidla upozornění

   

3. Na kartě Podmínka použijte následující konfiguraci:

   • V sadě měření agregace členitosti na 1 den
   • V části Rozdělit podle dimenzí nastavte sloupec ID prostředku na ResourceId.
   • Nastavte hodnoty CertName a DayTillExpire jako dimenze.
   • V logice upozornění nastavte prahovou hodnotu na 0 a frekvenci vyhodnocení na 1 den.

   

4. Na kartě Akce nakonfigurujte upozornění pro odeslání e-mailu.

   1. Vyberte vytvořit skupinu akcí.

      

   2. Konfigurace skupiny akcí Vytvořit

      

   3. Konfigurace oznámení pro odeslání e-mailu

      

   4. Konfigurace podrobností pro aktivaci upozornění upozornění

      

   5. Vyberte Zkontrolovat a vytvořit.

Další kroky

Pomocí nástrojů, které jste v tomto článku nastavili, můžete aktivně monitorovat stav trezoru klíčů:

• Monitorování služby Key Vault
• Referenční informace k monitorování dat služby Key Vault
• Vytvoření upozornění dotazu protokolu pro prostředek Azure