Registro de Azure Key Vault
Después de crear uno o varios almacenes de claves, es probable que desee supervisar cómo y cuándo se accede a los almacenes de claves y quién lo hace. Cuando se habilita el registro de Azure Key Vault, se guarda la información en una cuenta de almacenamiento de Azure proporcionada por el usuario. Para obtener instrucciones paso a paso, consulte Habilitación del registro de Key Vault.
Puede acceder a la información de registro 10 minutos (como máximo) después de la operación del almacén de claves. En la mayoría de los casos, será más rápido. Es decisión suya administrar los registros en la cuenta de almacenamiento:
- Utilice los métodos estándar de control de acceso de Azure en su cuenta de almacenamiento para proteger los registros mediante la restricción de las personas pueden acceder a ellos.
- Elimine los registros que ya no desee mantener en la cuenta de almacenamiento.
Para obtener información general sobre Key Vault, consulte ¿Qué es Azure Key Vault? Para obtener información acerca de dónde está disponible Key Vault, consulte la página de precios. Para obtener información acerca del uso de Azure Monitor para Key Vault.
Interpretación de los registros de Key Vault
Al habilitar el registro, un nuevo contenedor denominado insights-logs-auditevent se crea automáticamente para su cuenta de almacenamiento especificada. Puede usar esta misma cuenta de almacenamiento para recopilar registros de varios almacenes de claves.
Los blobs individuales se almacenan como texto, con formato de blob JSON. Veamos una entrada de registro como ejemplo.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
En la tabla siguiente se muestran los nombres y las descripciones de los campos:
Nombre del campo | Descripción |
---|---|
time | Fecha y hora en UTC. |
resourceId | Identificador de recursos de Azure Resource Manager. Para los registros de Key Vault, es siempre el identificador de recurso de Key Vault. |
operationName | Nombre de la operación, como se documenta en la tabla siguiente. |
operationVersion | Versión de la API REST solicitada por el cliente. |
category | Tipo de resultado. Para los registros de Key Vault, AuditEvent es el único valor disponible. |
resultType | Resultado de la solicitud de la API REST. |
resultSignature | Estado de HTTP |
resultDescription | Descripción adicional acerca del resultado, cuando está disponible. |
durationMs | Tiempo que tardó en atender la solicitud de API de REST, en milisegundos. Este tiempo no incluye la latencia de red, por lo que el tiempo que se mide en el cliente podría no coincidir con este tiempo. |
callerIpAddress | Dirección IP del cliente que realizó la solicitud. |
correlationId | Un GUID opcional que el cliente puede pasar para correlacionar los registros del lado cliente con los registros del lado servicio (Key Vault). |
identity | Identidad del token que se ha presentado al realizar la solicitud de la API REST. Normalmente, un "usuario", una "entidad de servicio" o la combinación "usuario + id. de aplicación", por ejemplo, cuando la solicitud procede de un cmdlet de Azure PowerShell. |
properties | Información que varía en función de la operación (operationName). En la mayoría de los casos, este campo contiene información del cliente (la cadena del agente de usuario pasada por el cliente), el URI de la solicitud de la API REST exacta y el código de estado HTTP. Además, cuando se devuelve un objeto como resultado de una solicitud (por ejemplo, KeyCreate o VaultGet) también contiene el URI de la clave (como id ), el URI del almacén o el URI del secreto. |
Los valores del campo operationName tienen el formato ObjectVerb. Por ejemplo:
- Todas las operaciones del almacén de claves tienen el formato
Vault<action>
, comoVaultGet
yVaultCreate
. - Todas las operaciones de claves tienen el formato
Key<action>
, comoKeySign
yKeyList
. - Todas las operaciones de secretos tienen el formato
Secret<action>
, comoSecretGet
ySecretListVersions
.
En la tabla siguiente se muestran los valores operationName y los comandos correspondientes de la API REST:
Tabla de nombres de operaciones
operationName | Comando de la API REST |
---|---|
Autenticación | Autenticación mediante el punto de conexión de Microsoft Entra |
VaultGet | Obtener información acerca de un almacén de claves |
VaultPut | Crear o actualizar un almacén de claves |
VaultDelete | Eliminar un almacén de claves |
VaultPatch | Crear o actualizar un almacén de claves |
VaultList | Lista de todos los almacenes de claves en un grupo de recursos |
VaultPurge | Purgar un almacén eliminado |
VaultRecover | Recuperar un almacén eliminado |
VaultGetDeleted | Obtener un almacén eliminado |
VaultListDeleted | Enumerar los almacenes eliminados |
VaultAccessPolicyChangedEventGridNotification | Se ha publicado el evento de cambio de directiva de acceso del almacén. Se registra independientemente de si existe una suscripción de Event Grid. |
Uso de registros de Azure Monitor
Puede utilizar la solución Key Vault en registros de Azure Monitor para revisar los registros AuditEvent
de Key Vault. En los registros de Azure Monitor, las consultas de los registros se usan para analizar los datos y obtener la información que necesita.
Para obtener más información, incluidas instrucciones para configurar esta opción, consulte Azure Key Vault en Azure Monitor.
Para obtener información sobre cómo analizar registros, vea Ejemplos de consultas de Kusto.
Pasos siguientes
- Habilitación del registro de Key Vault
- Azure Monitor
- Para ver un tutorial que use Azure Key Vault en una aplicación web .NET, consulte Uso de Azure Key Vault desde una aplicación web.
- Para conocer las referencias de programación, consulte la Guía del desarrollador de Azure Key Vault.
- Para obtener una lista de los cmdlets de Azure PowerShell 1.0 para Azure Key Vault, consulte Azure Key Vault Cmdlets(Cmdlets de Azure Key Vault).