Journalisation d’Azure Key Vault
Une fois que vous avez créé un ou plusieurs coffres de clés, vous voulez probablement contrôler qui accède à ces derniers, par quel moyen et quand. L’activation de la journalisation d’Azure Key Vault enregistre les informations dans un compte de stockage Azure que vous fournissez. Pour obtenir des instructions pas à pas, consultez Comment activer la journalisation de Key Vault.
Vous pouvez accéder aux informations de journalisation 10 minutes (au maximum) après l’opération sur le coffre de clés. Dans la plupart des cas, ce sera plus rapide. C’est à vous de gérer vos journaux d’activité dans votre compte de stockage :
- Utilisez les méthodes de contrôle d’accès Azure standard dans votre compte de stockage pour assurer la sécurité de vos journaux en limitant l’accès à ces derniers.
- Supprimez les journaux d’activité que vous ne souhaitez plus conserver dans votre compte de stockage.
Pour obtenir des informations générales sur Key Vault, consultez l’article Qu’est-ce qu’Azure Key Vault ?. Pour plus d’informations sur les endroits où Key Vault est disponible, consultez la page de tarification. Découvrez plus d’informations sur l’utilisation d’Azure Monitor pour Key Vault.
Interpréter vos journaux d’activité Key Vault
Quand vous activez la journalisation, un nouveau conteneur appelé insights-logs-auditevent est automatiquement créé pour le compte de stockage que vous avez spécifié. Vous pouvez utiliser ce même compte de stockage pour collecter les journaux de plusieurs coffres de clés.
Les objets blob individuels sont stockés sous forme de texte en tant qu’objet blob JSON. Examinons un exemple d’entrée du journal.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
Le tableau ci-après répertorie les noms de champ et leurs descriptions :
Nom du champ | Description |
---|---|
time | Date et heure en temps universel coordonné (UTC). |
resourceId | ID de ressource Azure Resource Manager. Pour les journaux d’activité de coffre de clés, il s’agit toujours de l’ID de ressource du coffre de clés. |
operationName | Nom de l’opération, comme indiqué dans le tableau suivant. |
operationVersion | Version d’API REST demandée par le client. |
category | Type de résultat. Pour les journaux Key Vault, AuditEvent est la seule valeur disponible. |
resultType | Résultat de la requête d’API REST. |
resultSignature | État HTTP |
resultDescription | Description supplémentaire du résultat, si disponible. |
durationMs | Délai nécessaire pour répondre à la demande API REST, en millisecondes. L’heure du réseau n’est pas incluse dans ce chiffre et donc, le temps mesuré côté client peut ne pas correspondre à cette durée. |
callerIpAddress | Adresse IP du client qui a effectué la requête. |
correlationId | GUID facultatif que le client peut transférer pour mettre en corrélation les journaux d’activité côté client avec les journaux d’activité côté service (Key Vault). |
identity | Identité issue du jeton qui a été présenté dans la requête d’API REST. Généralement un « utilisateur », un « principal de service » ou la combinaison « user+appId », par exemple lorsque la requête provient d’une cmdlet Azure PowerShell. |
properties | Informations variables en fonction de l’opération (operationName). Dans la plupart des cas, ce champ contient des informations sur le client (chaîne d’agent utilisateur transmise par le client), l’URI de requête d’API REST exacte et le code d’état HTTP. En outre, quand un objet est retourné suite à une requête (par exemple, KeyCreate ou VaultGet), ce champ contient également l’URI de la clé (sous la forme id ), l’URI du coffre ou l’URI du secret. |
Les valeurs du champ operationName sont indiquées au format ObjectVerb. Par exemple :
- Toutes les opérations de coffre de clés présentent le format
Vault<action>
, commeVaultGet
etVaultCreate
. - Toutes les opérations de clé présentent le format
Key<action>
, commeKeySign
etKeyList
. - Toutes les opérations de secret présentent le format
Secret<action>
, commeSecretGet
etSecretListVersions
.
Le tableau ci-après répertorie les valeurs operationName et les commandes API REST correspondantes :
Table des noms d’opération
operationName | Commande API REST |
---|---|
Authentification | Authentifiez-vous via le point de terminaison Microsoft Entra |
VaultGet | Obtention des informations sur un coffre de clés |
VaultPut | Création ou mise à jour d’un coffre de clés |
VaultDelete | Suppression d’un coffre de clés |
VaultPatch | Mise à jour d’un coffre de clés |
VaultList | Liste de l’ensemble des coffres de clés dans un groupe de ressources |
VaultPurge | Vider le coffre supprimé |
VaultRecover | Récupérer un coffre supprimé |
VaultGetDeleted | Obtenir un coffre supprimé |
VaultListDeleted | Lister les coffres supprimés |
VaultAccessPolicyChangedEventGridNotification | Événement lié à la modification de la stratégie d’accès au coffre publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid. |
Utiliser les journaux d’activité Azure Monitor
Vous pouvez utiliser la solution Key Vault dans les journaux Azure Monitor pour consulter les journaux AuditEvent
de Key Vault. Dans les journaux Azure Monitor, vous utilisez des requêtes de journaux pour analyser les données et obtenir les informations dont vous avez besoin.
Pour plus d’informations, notamment sur la procédure de configuration correspondante, consultez Azure Key Vault dans Azure Monitor.
Pour mieux comprendre comment analyser les journaux, voir Exemples de requêtes de journal Kusto
Étapes suivantes
- Guide pratique pour activer la journalisation de Key Vault
- Azure monitor
- Pour accéder à un tutoriel utilisant Azure Key Vault dans une application web .NET, consultez l’article Utilisation d’Azure Key Vault à partir d’une application web.
- Pour les références de programmation, consultez le guide du développeur de coffre de clés Azure.
- Pour obtenir la liste des cmdlets Azure PowerShell 1.0 concernant Azure Key Vault, consultez l’article Azure Key Vault Cmdlets (Cmdlets Azure Key Vault).