Überwachen von Key Vault mit Azure Event Grid

Durch die Integration von Key Vault in Event Grid können Benutzer benachrichtigt werden, wenn sich der Status eines im Schlüsseltresor gespeicherten Geheimnisses geändert hat. Eine Statusänderung ist als Geheimnis, das demnächst abläuft (30 Tage vor Ablauf), als Geheimnis, das abgelaufen ist, oder als Geheimnis definiert, für das eine neue Version verfügbar ist. Es werden Benachrichtigungen für alle drei Geheimnistypen (Schlüssel, Zertifikat und Geheimnis) unterstützt.

Anwendungen können auf diese Ereignisse mit modernen serverlosen Architekturen reagieren, ohne dass komplizierter Code oder teure und ineffiziente Abrufdienste erforderlich sind. Ereignisse werden per Push über Azure Event Grid an Ereignishandler, etwa Azure Functions und Azure Logic Apps, oder sogar an Ihren eigenen Webhook übertragen, und Sie zahlen nur für das, was Sie tatsächlich nutzen. Informationen zu den Preisen finden Sie unter Event Grid – Preise.

Key Vault- Ereignisse und -Schemas

Event Grid verwendet Ereignisabonnements zum Weiterleiten von Ereignisnachrichten an Abonnenten. Key Vault-Ereignisse enthalten alle Informationen, die Sie benötigen, um auf Änderungen in Ihren Daten zu reagieren. Sie erkennen ein Key Vault-Ereignis daran, dass die eventType-Eigenschaft mit „Microsoft.KeyVault“ beginnt.

Weitere Informationen finden Sie unter Azure Event Grid-Ereignisschema für Azure Key Vault.

Warnung

Benachrichtigungsereignisse werden nur für neue Versionen von Geheimnissen, Schlüsseln und Zertifikaten ausgelöst, und Sie müssen zuerst das Ereignis in Ihrem Schlüsseltresor abonnieren, um diese Benachrichtigungen zu erhalten.

Methoden zum Nutzen von Ereignissen

Anwendungen, die Key Vault-Ereignisse verarbeiten, sollten einige bewährte Methoden nutzen:

• Es können mehrere Abonnements konfiguriert werden, um Ereignisse an den gleichen Ereignishandler zu routen. Sie sollten keinesfalls davon ausgehen, dass Ereignisse aus einer bestimmten Quelle stammen. Überprüfen Sie stattdessen das Thema der Nachricht, um sich zu vergewissern, dass das jeweilige Ereignis aus dem erwarteten Schlüsseltresor stammt.
• Vergewissern Sie sich außerdem, dass es sich um einen Ereignistyp handelt, auf dessen Verarbeitung Sie vorbereitet sind, und gehen Sie nicht davon aus, dass alle empfangenen Ereignisse den von Ihnen erwarteten Typen entsprechen.
• Ignorieren Sie Felder, die Sie nicht verstehen. So müssen Sie sich nicht mit neuen Features auseinandersetzen, die in der Zukunft hinzugefügt werden könnten.
• Verwenden Sie Präfix- und Suffixübereinstimmungen für „subject“, um Ereignisse auf ein bestimmtes Ereignis zu beschränken.

Nächste Schritte

• Was ist der Azure-Schlüsseltresor?
• Was ist Azure Event Grid?
• Gewusst wie: Weiterleiten von Key Vault-Ereignissen zu Automation Runbook
• Gewusst wie: Verwenden von Logic Apps zum Empfangen einer E-Mail bei Statusänderungen von Key Vault-Geheimnissen
• Azure Event Grid-Ereignisschema für Azure Key Vault
• Azure Automation – Übersicht