Konfigurace upozornění služby Azure Key Vault

  • Článek

Jakmile začnete používat Azure Key Vault k ukládání produkčních tajných kódů, je důležité monitorovat stav trezoru klíčů, abyste měli jistotu, že vaše služba funguje podle očekávání.

Když začnete škálovat službu, zvýší se počet požadavků odeslaných do trezoru klíčů. Tento nárůst může zvýšit latenci vašich požadavků. Vextrémních Potřebujete také vědět, jestli trezor klíčů odesílá neobvyklý počet kódů chyb, abyste mohli rychle zvládnout všechny problémy se zásadami přístupu nebo konfigurací brány firewall.

V tomto článku se dozvíte, jak nakonfigurovat výstrahy při zadaných prahových hodnotách, abyste mohli upozornit tým, aby okamžitě udělal akci, pokud je váš trezor klíčů v pořádku. Můžete nakonfigurovat upozornění, která posílají e-mail (nejlépe do distribučního seznamu týmu), aktivujte oznámení služby Azure Event Grid nebo zavolejte nebo pošlete text na telefonní číslo.

Můžete si vybrat mezi těmito typy výstrah:

  • Statická výstraha založená na pevné hodnotě
  • Dynamická výstraha, která vás upozorní, pokud monitorovaná metrika překročí průměrný limit trezoru klíčů, určitou dobu v rámci definovaného časového rozsahu

Důležité

Zahájení odesílání oznámení může trvat až 10 minut.

Tento článek se zaměřuje na upozornění pro službu Key Vault. Informace o přehledech služby Key Vault, které kombinuje protokoly i metriky za účelem zajištění globálního řešení monitorování, najdete v tématu Monitorování trezoru klíčů pomocí přehledů služby Key Vault.

Konfigurace skupiny akcí

Skupina akcí je konfigurovatelný seznam oznámení a vlastností. Prvním krokem při konfiguraci upozornění je vytvoření skupiny akcí a volba typu upozornění:

  1. Přihlaste se k portálu Azure.

  2. Ve vyhledávacím poli vyhledejte výstrahy .

  3. Vyberte Spravovat akce.

    Snímek obrazovky, který zvýrazňuje tlačítko Spravovat akce

  4. Vyberte + Přidat skupinu akcí.

    Snímek obrazovky, který zvýrazní tlačítko pro přidání skupiny akcí

  5. Zvolte hodnotu Typu akce pro vaši skupinu akcí. V tomto příkladu vytvoříme e-mail a sms upozornění. Vyberte e-mail, SMS, nabízené oznámení nebo hlas.

    Snímek obrazovky, který zvýrazní výběry pro přidání skupiny akcí

  6. V dialogovém okně zadejte podrobnosti e-mailu a SMS a pak vyberte OK.

    Snímek obrazovky znázorňující výběry pro přidání e-mailu a upozornění na zprávu S M S

Konfigurace prahových hodnot upozornění

Dále vytvořte pravidlo a nakonfigurujte prahové hodnoty, které aktivují upozornění:

  1. Na webu Azure Portal vyberte prostředek trezoru klíčů a pak v části Monitorování vyberte Výstrahy.

    Snímek obrazovky s možností nabídky Výstrahy v části Monitorování

  2. Vyberte Nové pravidlo upozornění.

    Snímek obrazovky znázorňující tlačítko pro přidání nového pravidla upozornění

  3. Vyberte rozsah pravidla upozornění. Můžete vybrat jeden trezor nebo více trezorů.

    Důležité

    Při výběru více trezorů pro obor výstrahy musí být všechny vybrané trezory ve stejné oblasti. Musíte nakonfigurovat samostatná pravidla upozornění pro trezory v různých oblastech.

    Snímek obrazovky znázorňující, jak vybrat trezor

  4. Vyberte prahové hodnoty, které definují logiku pro upozornění, a pak vyberte Přidat. Tým služby Key Vault doporučuje nakonfigurovat následující prahové hodnoty pro většinu aplikací, ale můžete je upravit podle potřeb vaší aplikace:

    • Dostupnost služby Key Vault klesne pod 100 % (statická prahová hodnota)

    Důležité

    Tato výstraha aktuálně nesprávně zahrnuje dlouhotrvající operace a hlásí je jako nedostupnou službu. Můžete monitorovat protokoly služby Key Vault a zjistit, jestli se operace nedaří kvůli nedostupnosti služby.

    • Latence služby Key Vault je větší než 1 000 ms (statická prahová hodnota)

    Poznámka:

    Záměrem prahové hodnoty 1000 ms je oznámit, že služba Key Vault v této oblasti má úlohu vyšší než průměr. Naše smlouva SLA pro operace služby Key Vault je několikrát vyšší, viz smlouva o úrovni služeb pro online služby pro aktuální smlouvu SLA. Pokud chcete upozornit, když jsou operace služby Key Vault mimo smlouvu SLA, použijte prahové hodnoty z dokumentů SLA.

    • Celková sytost trezoru je větší než 75 procent (statická prahová hodnota)
    • Celková sytost trezoru překračuje průměr (dynamická prahová hodnota)
    • Celkový počet kódů chyb je vyšší než průměr (dynamická prahová hodnota)

    Snímek obrazovky znázorňující, kde vyberete podmínky pro výstrahy

Příklad: Konfigurace prahové hodnoty statické výstrahy pro latenci

  1. Jako název signálu vyberte celkovou latenci rozhraní API služby.

    Snímek obrazovky znázorňující výběr názvu signálu

  2. Použijte následující konfigurační parametry:

    • Nastavte prahovou hodnotu na statickou.
    • Nastavte operátor na větší než.
    • Nastavte typ agregace na Průměr.
    • Nastavte prahovou hodnotu na 1000.
    • Nastavte členitost agregace (období) na 5 minut.
    • Nastavte frekvenci vyhodnocování na každých 1 minutu.

    Snímek obrazovky znázorňující nakonfigurovanou logiku pro prahovou hodnotu statické výstrahy

  3. Vyberte Hotovo.

Příklad: Konfigurace prahové hodnoty dynamického upozornění pro sytost trezoru

Když použijete dynamické upozornění, budete moct zobrazit historická data vybraného trezoru klíčů. Modrá oblast představuje průměrné využití trezoru klíčů. Červená oblast ukazuje špičky, které by aktivovaly výstrahu, pokud byla splněna jiná kritéria v konfiguraci výstrahy. Červené tečky zobrazují výskyty porušení, ve kterých byla během agregovaného časového intervalu splněna kritéria pro výstrahu.

Snímek obrazovky znázorňující graf celkové sytosti trezoru

Výstrahu můžete nastavit tak, aby se aktivovalo po určitém počtu porušení v nastaveném čase. Pokud nechcete zahrnout předchozí data, můžete je vyloučit v upřesňujícím nastavení.

  1. Použijte následující konfigurační parametry:

    • Nastavte název dimenze na typ transakce a hodnoty dimenzí na trezoroperace.
    • Nastavte prahovou hodnotu na dynamickou.
    • Nastavte operátor na větší než.
    • Nastavte typ agregace na Průměr.
    • Nastavte citlivost prahové hodnoty na střední.
    • Nastavte členitost agregace (období) na 5 minut.
    • Nastavte frekvenci vyhodnocování na každých 5 minut.
    • Konfigurace upřesňujícího nastavení (volitelné)

    Snímek obrazovky znázorňující nakonfigurovanou logiku pro prahovou hodnotu dynamické výstrahy

  2. Vyberte Hotovo.

  3. Vyberte Přidat a přidejte skupinu akcí, kterou jste nakonfigurovali.

    Snímek obrazovky znázorňující tlačítko pro přidání skupiny akcí

  4. V podrobnostech výstrahy povolte výstrahu a přiřaďte závažnost.

    Snímek obrazovky znázorňující, kde se má výstraha povolit a přiřadit závažnost

  5. Vytvořte výstrahu.

Příklad e-mailové výstrahy

Pokud jste postupovali podle všech předchozích kroků, obdržíte e-mailová upozornění, když váš trezor klíčů splňuje nakonfigurovaná kritéria upozornění. Příkladem je následující e-mailová výstraha.

Snímek obrazovky, který zvýrazňuje informace potřebné ke konfiguraci e-mailového upozornění

Příklad: Upozornění dotazu protokolu pro certifikáty s blížícím se vypršením platnosti

Můžete nastavit upozornění, které vás upozorní na certifikáty, jejichž platnost brzy vyprší.

Poznámka:

Události blížící se vypršení platnosti certifikátů se protokolují 30 dní před vypršením platnosti.

  1. Přejděte na Protokoly a vložte následující dotaz do okna dotazu.

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Výběr nového pravidla upozornění

    Snímek obrazovky znázorňující okno dotazu s vybraným novým pravidlem upozornění

  3. Na kartě Podmínka použijte následující konfiguraci:

    • V sadě měření agregace členitosti na 1 den
    • V části Rozdělit podle dimenzí nastavte sloupec ID prostředku na ResourceId.
    • Nastavte hodnoty CertName a DayTillExpire jako dimenze.
    • V logice upozornění nastavte prahovou hodnotu na 0 a frekvenci vyhodnocení na 1 den.

    Snímek obrazovky znázorňující konfiguraci podmínky upozornění

  4. Na kartě Akce nakonfigurujte upozornění pro odeslání e-mailu.

    1. Vyberte vytvořit skupinu akcí.

      Snímek obrazovky znázorňující, jak vytvořit skupinu akcí

    2. Konfigurace skupiny akcí Vytvořit

      Snímek obrazovky znázorňující, jak nakonfigurovat skupinu akcí

    3. Konfigurace oznámení pro odeslání e-mailu

      Snímek obrazovky, který ukazuje, jak nakonfigurovat oznámení

    4. Konfigurace podrobností pro aktivaci upozornění upozornění

      Snímek obrazovky znázorňující konfiguraci podrobností oznámení

    5. Vyberte Zkontrolovat a vytvořit.

Další kroky

Pomocí nástrojů, které jste v tomto článku nastavili, můžete aktivně monitorovat stav trezoru klíčů: