Configuración de alertas de Azure Key Vault
Una vez que haya empezado a usar Key Vault para almacenar los secretos de producción, es importante supervisar el estado del almacén de claves para asegurarse de que el servicio funciona según lo previsto.
Cuando empiece a escalar el servicio, aumentará el número de solicitudes que se envían al almacén de claves. Este aumento puede aumentar la latencia de las solicitudes. En casos extremos, puede hacer que las solicitudes se limiten y afecten al rendimiento del servicio. También debe saber si el almacén de claves envía un número inusual de códigos de error, para que pueda resolver rápidamente cualquier problema con una configuración con una directiva de acceso o el firewall.
En este artículo se muestra cómo configurar alertas a umbrales especificados para que pueda avisar a su equipo para que realice una acción inmediatamente si el almacén de claves tiene un estado incorrecto. Puede configurar alertas que envíen un correo electrónico (preferiblemente a una lista de distribución del equipo), desencadenar una notificación de Azure Event Grid, o llamar a un número de teléfono o enviar un mensaje de texto a este.
Puede elegir entre estos tipos de alerta:
- Una alerta estática basada en un valor fijo
- Una alerta dinámica que le notifique si una métrica supervisada supera el límite medio del almacén de claves un cierto número de veces en un intervalo de tiempo definido.
Importante
Tenga en cuenta que las alertas configuradas recientemente pueden tardar hasta 10 minutos en empezar a enviar notificaciones.
Este artículo se centra en las alertas de Key Vault. Para obtener información sobre la información de Key Vault, que combina registros y métricas para proporcionar una solución de supervisión global, consulte Supervisión de un servicio de Key Vault con información de Key Vault.
Un grupo de acciones es una lista configurable de notificaciones y propiedades. El primer paso para configurar alertas es crear un grupo de acciones y elegir un tipo de alerta:
Inicie sesión en Azure Portal.
Busque Alertas en el cuadro de búsqueda.
Seleccione Administrar acciones.
Seleccione + Agregar grupo de acciones.
Elija el valor Tipo de acción para el grupo de acciones. En este ejemplo, crearemos una alerta por correo electrónico y SMS. Seleccione Correo electrónico/SMS/Inserción/Voz.
En el cuadro de diálogo, escriba los detalles de correo electrónico y SMS y, a continuación, seleccione Aceptar.
A continuación, cree una regla y configure los umbrales que desencadenarán una alerta:
Seleccione el recurso de Key Vault en Azure Portal y seleccione Alertas en Supervisión.
Seleccione Nueva regla de alertas.
Seleccione el ámbito de la regla de alertas. Puede seleccionar un solo almacén o varios.
Importante
Si se seleccionan varios almacenes para el ámbito de las alertas, todos ellos deben estar en la misma región. Tendrá que configurar reglas de alerta independientes para almacenes en regiones diferentes.
Seleccione los umbrales que definen la lógica de las alertas y, a continuación, seleccione Agregar. El equipo de Key Vault recomienda configurar los siguientes umbrales para la mayoría de las aplicaciones, pero puede ajustarlos en función de las necesidades de la aplicación:
- La disponibilidad de Key Vault baja por debajo del 100 % (umbral estático).
Importante
Esta alerta incluye actualmente operaciones de ejecución prolongada e informa de que el servicio no está disponible. Puede supervisar los registros de Key Vault para ver si se produce un error en las operaciones debido a que el servicio no está disponible en su lugar
- La latencia de Key Vault es superior a 1000 ms (umbral estático).
Nota
La intención del umbral de 1000 ms es notificar que el servicio Key Vault de esta región tiene una carga de trabajo superior al promedio. Nuestro Acuerdo de Nivel de Servicio para operaciones de Key Vault es varias veces mayor, consulte el Acuerdo de Nivel de Servicio para Online Services para el Acuerdo de Nivel de Servicio actual. Para alertar cuando las operaciones de Key Vault están fuera del Acuerdo de Nivel de Servicio, use los umbrales de los documentos del Acuerdo de Nivel de Servicio.
- La saturación general del almacén es mayor que el 75 % (umbral estático).
- La saturación total del almacén supera el promedio (umbral dinámico)
- Los códigos de error totales son mayores que el promedio (umbral dinámico).
Seleccione Latencia general de la API de servicio como el nombre de la señal
Utilice los siguientes parámetros de configuración:
- Establezca Umbral en Estático.
- Establezca el operador en Mayor que.
- Establezca el tipo de agregación en Media.
- Establezca Valor de umbral en 1000.
- Establezca Granularidad de agregación (período) en 5 minutos.
- Establezca Frecuencia de evaluación en Cada minuto.
Seleccione Listo.
Si usa una alerta dinámica, podrá ver los datos históricos del almacén de claves que ha seleccionado. El área azul representa el uso medio del almacén de claves. El área roja muestra los picos que habrían desencadenado una alerta, siempre que se cumplan otros criterios de la configuración de la alerta. Los puntos rojos muestran instancias de infracciones en las que se han cumplido los criterios de la alerta durante la ventana de tiempo agregada.
Puede establecer una alerta para que se active después de un determinado número de infracciones en un período de tiempo establecido. Si no desea incluir datos pasados, hay una opción para excluirlos en la configuración avanzada.
Utilice los siguientes parámetros de configuración:
- Establezca Nombre de dimensión en Tipo de transacción y Valores de dimensión en vaultoperation.
- Establezca Umbral en Dinámico.
- Establezca el operador en Mayor que.
- Establezca el tipo de agregación en Media.
- Establezca Sensibilidad del umbral en Intermedio.
- Establezca Granularidad de agregación (período) en 5 minutos.
- Establezca Frecuencia de evaluación en Cada minuto.
- Configure Opciones avanzadas (opcional).
Seleccione Listo.
Seleccione Agregar para agregar el grupo de acciones que ha configurado.
En los detalles de la alerta, habilite la alerta y asigne una gravedad.
Cree la alerta.
Si ha seguido todos los pasos anteriores, recibirá alertas por correo electrónico cuando el almacén de claves cumpla los criterios de alerta que ha configurado. La siguiente alerta por correo electrónico es un ejemplo.
Puede establecer una alerta para notificarle los certificados que están a punto de expirar.
Nota
Los eventos de expiración cercana para los certificados se registran 30 días antes de la expiración.
Vaya a Registros y pegue la siguiente consulta en la ventana de consulta
AzureDiagnostics | where OperationName =~ 'CertificateNearExpiryEventGridNotification' | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d) | extend DaysTillExpire = datetime_diff("Day", CertExpire, now()) | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
Seleccione Nueva regla de alertas.
En la pestaña Condición use la siguiente configuración:
- En Medida establezca Granularidad de la agregación en 1 día
- En Dividir por dimensiones establezca Columna Id. de recurso en ResourceId.
- Establezca CertName y DayTillExpire como dimensiones.
- En Lógica de alerta establezca Valor del umbral en 0 y Frecuencia de evaluación en 1 día.
En la pestaña Acciones configure una alerta para enviar un correo electrónico
- Seleccione Crear grupo de acciones
- Configure Crear grupo de acciones
- Configure Notificaciones para enviar un correo electrónico
- Configure Detalles para desencadenar una alerta de advertencia
- Seleccionar Revisar y crear.
- Seleccione Crear grupo de acciones
Use las herramientas que ha configurado en este artículo para supervisar activamente el estado de su almacén de claves.