Compartir a través de

Configuración de alertas de Azure Key Vault

Después de empezar a usar Azure Key Vault para almacenar los secretos de producción, es importante supervisar el estado del almacén de claves para asegurarse de que el servicio funciona según lo previsto.

Cuando empiece a escalar el servicio, aumentará el número de solicitudes que se envían al almacén de claves. Este aumento puede aumentar la latencia de las solicitudes. En casos extremos, puede hacer que tus solicitudes se limiten y afectar al rendimiento de tu servicio. También debe saber si el almacén de claves envía un número inusual de códigos de error, por lo que puede controlar rápidamente cualquier problema con una directiva de acceso o una configuración de firewall.

En este artículo se muestra cómo configurar alertas a umbrales especificados para que pueda avisar a su equipo para que realice una acción inmediatamente si el almacén de claves tiene un estado incorrecto. Puede configurar alertas que envíen un correo electrónico (preferiblemente a una lista de distribución del equipo), desencadenar una notificación de Azure Event Grid, o llamar a un número de teléfono o enviar un mensaje de texto a este.

Puede elegir entre estos tipos de alerta:

  • Una alerta estática basada en un valor fijo
  • Una alerta dinámica que le notifique si una métrica supervisada supera el límite medio del almacén de claves un cierto número de veces en un intervalo de tiempo definido

Importante

Tenga en cuenta que las alertas configuradas recientemente pueden tardar hasta 10 minutos en empezar a enviar notificaciones.

Este artículo se centra en las alertas de Key Vault. Para obtener información sobre Key Vault insights, que combina tanto logs como métricas para proporcionar una solución de monitorización global, consulte Supervisión de su almacén de claves con Key Vault insights.

Configurar un grupo de acciones

Un grupo de acciones es una lista configurable de notificaciones y propiedades. El primer paso para configurar alertas es crear un grupo de acciones y elegir un tipo de alerta:

  1. Inicie sesión en Azure Portal.

  2. Busque Alertas en el cuadro de búsqueda.

  3. Seleccione Administrar acciones.

    Captura de pantalla que resalta el botón Administrar acciones.

  4. Seleccione + Agregar grupo de acciones.

    Captura de pantalla que resalta el botón para agregar un grupo de acciones.

  5. Elija el valor Tipo de acción para el grupo de acciones. En este ejemplo, crearemos una alerta por correo electrónico y SMS. Seleccione Email/SMS/Push/Voice.

    Captura de pantalla que resalta las selecciones para agregar un grupo de acciones.

  6. En el cuadro de diálogo, escriba los detalles de correo electrónico y SMS y, a continuación, seleccione Aceptar.

    Captura de pantalla que muestra las selecciones para agregar un correo electrónico y una alerta de mensaje de S M S.

Configuración de umbrales de alerta

A continuación, cree una regla y configure los umbrales que desencadenarán una alerta:

  1. Seleccione el recurso del almacén de claves en Azure Portal y, a continuación, seleccione Alertas en Supervisión.

    Captura de pantalla que muestra la opción de menú Alertas en la sección Supervisión.

  2. Seleccione Nueva regla de alertas.

    Captura de pantalla que muestra el botón para agregar una nueva regla de alertas.

  3. Seleccione el ámbito de la regla de alertas. Puede seleccionar un solo almacén o varios.

    Importante

    Si se seleccionan varios almacenes para el ámbito de las alertas, todos ellos deben estar en la misma región. Tiene que configurar reglas de alerta independientes para almacenes en regiones diferentes.

    Recorte de pantalla que muestra cómo puede seleccionar un almacén.

  4. Seleccione los umbrales que definen la lógica de las alertas y, a continuación, seleccione Agregar. El equipo de Key Vault recomienda configurar los siguientes umbrales para la mayoría de las aplicaciones, pero puede ajustarlos en función de las necesidades de la aplicación:

    • La disponibilidad de Key Vault cae por debajo del 100 % (umbral estático)

    Importante

    Esta alerta incluye incorrectamente operaciones de larga duración e informa erróneamente que el servicio no está disponible. Puede supervisar los registros de Key Vault para ver si se produce un error en las operaciones debido a que el servicio no está disponible en su lugar.

    • La latencia de Key Vault es mayor que 1000 ms (umbral estático)

    Nota:

    La intención del umbral de 1000 ms es notificar que el servicio Key Vault de esta región tiene una carga de trabajo superior al promedio. Nuestro Acuerdo de Nivel de Servicio para las operaciones de Key Vault es significativamente superior. Consulte el Acuerdo de Nivel de Servicio para Servicios en Línea para conocer el SLA actual. Para alertar cuando las operaciones de Key Vault están fuera del Acuerdo de Nivel de Servicio, use los umbrales de los documentos del Acuerdo de Nivel de Servicio.

    • La saturación general del almacén es mayor que el 75 por ciento (umbral estático)
    • La saturación total del almacén supera el promedio (umbral dinámico)
    • Los códigos de error totales son mayores que el promedio (umbral dinámico)

    Captura de pantalla que muestra dónde se seleccionan las condiciones para las alertas.

Ejemplo: Configuración de un umbral de alerta estático para la latencia

  1. Seleccione Latencia general de api de servicio como nombre de señal.

    Captura de pantalla que muestra la selección de un nombre de señal.

  2. Utilice los siguientes parámetros de configuración:

    • Establezca Umbral en Estático.
    • Establezca el Operador en Mayor que.
    • Establezca el tipo de agregación en Media.
    • Establezca Valor de umbral en 1000.
    • Establezca Granularidad de agregación (período) en 5 minutos.
    • Establezca Frecuencia de evaluación en Cada 1 minuto.

    Captura de pantalla que muestra la lógica configurada para un umbral de alerta estático.

  3. Seleccione Listo.

Ejemplo: Configuración de un umbral de alerta dinámico para la saturación del almacén

Si usa una alerta dinámica, podrá ver los datos históricos del almacén de claves que ha seleccionado. El área azul representa el uso medio del almacén de claves. El área roja muestra picos que habrían desencadenado una alerta si se cumplen otros criterios en la configuración de la alerta. Los puntos rojos muestran instancias de infracciones en las que se cumplen los criterios de la alerta durante el período de tiempo agregado.

Recorte de pantalla que muestra un gráfico de la saturación general del almacén.

Puede establecer una alerta para que se active después de un determinado número de infracciones en un período de tiempo establecido. Si no desea incluir datos pasados, hay una opción para excluirlos en la configuración avanzada.

  1. Utilice los siguientes parámetros de configuración:

    • Establezca Nombre de dimensión en Tipo de transacción y Valores de dimensión en vaultoperation.
    • Establezca Umbral en Dinámico.
    • Establezca el Operador en Mayor que.
    • Establezca el tipo de agregación en Media.
    • Establezca Sensibilidad de umbral en Media.
    • Establezca Granularidad de agregación (período) en 5 minutos.
    • Establezca Frecuencia de evaluación en Cada 5 minutos.
    • Configure opciones avanzadas (opcional).

    Captura de pantalla que muestra la lógica configurada para un umbral de alerta dinámico.

  2. Seleccione Listo.

  3. Seleccione Agregar para agregar el grupo de acciones que configuró.

    Captura de pantalla que muestra el botón para agregar un grupo de acciones.

  4. En los detalles de la alerta, habilite la alerta y asigne una gravedad.

    Captura de pantalla que muestra dónde habilitar la alerta y asignar una gravedad.

  5. Cree la alerta.

Alerta de correo electrónico de ejemplo

Si ha seguido todos los pasos anteriores, recibirá alertas por correo electrónico cuando la bóveda de claves cumpla con los criterios de alerta que haya configurado. La siguiente alerta por correo electrónico es un ejemplo.

Captura de pantalla que resalta la información necesaria para configurar una alerta de correo electrónico.

Ejemplo: Alerta de consulta de registro para certificados de expiración próxima

Puede establecer una alerta para notificarle los certificados que están a punto de expirar.

Nota:

Los eventos de expiración cercana para los certificados se registran 30 días antes de la expiración.

  1. Vaya a Registros y pegue la consulta siguiente en la ventana de consulta.

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Seleccione Nueva regla de alertas.

    Captura de pantalla que muestra la ventana de consulta con la nueva regla de alerta seleccionada.

  3. En la pestaña Condición , use la siguiente configuración:

    • En Medidas establece Granularidad de agregación a 1 día
    • En Dividir por dimensiones , establezca la columna Id. de recurso en ResourceId.
    • Establezca CertName y DayTillExpire como dimensiones.
    • En Lógica de alerta , establezca valor umbral en 0 y Frecuencia de evaluación en 1 día.

    Captura de pantalla que muestra la configuración de la condición de alerta.

  4. En la pestaña Acciones , configure la alerta para enviar un correo electrónico

    1. Seleccionar crear grupo de acciones

      Captura de pantalla que muestra cómo crear un grupo de acciones.

    2. Configurar Crear grupo de acciones

      Captura de pantalla que muestra cómo configurar el grupo de acciones.

    3. Configurar notificaciones para enviar un correo electrónico

      Captura de pantalla que muestra cómo configurar la notificación.

    4. Configuración de detalles para desencadenar una alerta de advertencia

      Captura de pantalla que muestra cómo configurar los detalles de la notificación.

    5. Seleccione Revisar y crear.

Pasos siguientes

Use las herramientas que ha configurado en este artículo para supervisar activamente el estado de su almacén de claves.