Registro de Azure Key Vault

Después de crear uno o varios almacenes de claves, es probable que desee supervisar cómo y cuándo se accede a los almacenes de claves y quién lo hace. Cuando se habilita el registro de Azure Key Vault, se guarda la información en una cuenta de almacenamiento de Azure proporcionada por el usuario. Para obtener instrucciones paso a paso, consulte Habilitación del registro de Key Vault.

Puede acceder a la información de registro 10 minutos (como máximo) después de la operación del almacén de claves. En la mayoría de los casos, será más rápido. Es decisión suya administrar los registros en la cuenta de almacenamiento:

• Utilice los métodos estándar de control de acceso de Azure en su cuenta de almacenamiento para proteger los registros mediante la restricción de las personas pueden acceder a ellos.
• Elimine los registros que ya no desee mantener en la cuenta de almacenamiento.

Para obtener información general sobre Key Vault, consulte ¿Qué es Azure Key Vault? Para obtener información acerca de dónde está disponible Key Vault, consulte la página de precios. Para obtener información acerca del uso de Azure Monitor para Key Vault.

Interpretación de los registros de Key Vault

Al habilitar el registro, un nuevo contenedor denominado insights-logs-auditevent se crea automáticamente para su cuenta de almacenamiento especificada. Puede usar esta misma cuenta de almacenamiento para recopilar registros de varios almacenes de claves.

Los blobs individuales se almacenan como texto, con formato de blob JSON. Veamos una entrada de registro como ejemplo.

JSON

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

En la tabla siguiente se muestran los nombres y las descripciones de los campos:

Nombre del campo	Descripción
time	Fecha y hora en UTC.
resourceId	Identificador de recursos de Azure Resource Manager. Para los registros de Key Vault, es siempre el identificador de recurso de Key Vault.
operationName	Nombre de la operación, como se documenta en la tabla siguiente.
operationVersion	Versión de la API REST solicitada por el cliente.
category	Tipo de resultado. Para los registros de Key Vault, AuditEvent es el único valor disponible.
resultType	Resultado de la solicitud de la API REST.
resultSignature	Estado de HTTP
resultDescription	Descripción adicional acerca del resultado, cuando está disponible.
durationMs	Tiempo que tardó en atender la solicitud de API de REST, en milisegundos. Este tiempo no incluye la latencia de red, por lo que el tiempo que se mide en el cliente podría no coincidir con este tiempo.
callerIpAddress	Dirección IP del cliente que realizó la solicitud.
correlationId	Un GUID opcional que el cliente puede pasar para correlacionar los registros del lado cliente con los registros del lado servicio (Key Vault).
identity	Identidad del token que se ha presentado al realizar la solicitud de la API REST. Normalmente, un "usuario", una "entidad de servicio" o la combinación "usuario + id. de aplicación", por ejemplo, cuando la solicitud procede de un cmdlet de Azure PowerShell.
properties	Información que varía en función de la operación (operationName). En la mayoría de los casos, este campo contiene información del cliente (la cadena del agente de usuario pasada por el cliente), el URI de la solicitud de la API REST exacta y el código de estado HTTP. Además, cuando se devuelve un objeto como resultado de una solicitud (por ejemplo, KeyCreate o VaultGet) también contiene el URI de la clave (como id), el URI del almacén o el URI del secreto.

Los valores del campo operationName tienen el formato ObjectVerb. Por ejemplo:

• Todas las operaciones del almacén de claves tienen el formato Vault<action>, como VaultGet y VaultCreate.
• Todas las operaciones de claves tienen el formato Key<action>, como KeySign y KeyList.
• Todas las operaciones de secretos tienen el formato Secret<action>, como SecretGet y SecretListVersions.

En la tabla siguiente se muestran los valores operationName y los comandos correspondientes de la API REST:

Tabla de nombres de operaciones

Almacén

operationName	Comando de la API REST
Autenticación	Autenticación mediante el punto de conexión de Microsoft Entra
VaultGet	Obtener información acerca de un almacén de claves
VaultPut	Crear o actualizar un almacén de claves
VaultDelete	Eliminar un almacén de claves
VaultPatch	Crear o actualizar un almacén de claves
VaultList	Lista de todos los almacenes de claves en un grupo de recursos
VaultPurge	Purgar un almacén eliminado
VaultRecover	Recuperar un almacén eliminado
VaultGetDeleted	Obtener un almacén eliminado
VaultListDeleted	Enumerar los almacenes eliminados
VaultAccessPolicyChangedEventGridNotification	Se ha publicado el evento de cambio de directiva de acceso del almacén. Se registra independientemente de si existe una suscripción de Event Grid.

Claves

operationName	Comando de la API REST
KeyCreate	Crear una clave
KeyGet	Obtener información sobre una clave
KeyImport	Importar una clave a un almacén
KeyDelete	Eliminar una clave
KeySign	Firmar con una clave
KeyVerify	Comprobar con una clave
KeyWrap	Encapsular una clave
KeyUnwrap	Desencapsular una clave
KeyEncrypt	Cifrar con una clave
KeyDecrypt	Descifrado con una clave
KeyUpdate	Actualizar una clave
KeyList	Enumeración de las claves en un almacén
KeyListVersions	Enumerar las versiones de una clave
KeyPurge	Purgar una clave
KeyBackup	Realizar una copia de seguridad de una clave
KeyRestore	Restauración de una clave
KeyRecover	Recuperar una clave
KeyGetDeleted	Obtener una clave eliminada
KeyListDeleted	Enumerar las claves eliminadas de un almacén
KeyNearExpiryEventGridNotification	Se ha publicado el evento de expiración próxima de la clave. Se registra independientemente de si existe una suscripción de Event Grid.
KeyExpiredEventGridNotification	Se ha publicado el evento de expiración de la clave. Se registra independientemente de si existe una suscripción de Event Grid.
KeyRotate	Rotación de clave
KeyRotateIfDue	Operación programada de rotación automatizada de claves basada en la directiva de rotación definida
KeyRotationPolicyGet	Obtención de la directiva de rotación de claves
KeyRotationPolicySet	Actualización de la directiva de rotación de claves

Secretos

operationName	Comando de la API REST
SecretSet	Crear un secreto
SecretGet	Obtener un secreto
SecretUpdate	Actualizar un secreto
SecretDelete	Eliminar un secreto
SecretList	Enumerar secretos en un almacén
SecretListVersions	Enumerar versiones de un secreto
SecretPurge	Purgar un secreto
SecretBackup	Realizar una copia de seguridad de un secreto
SecretRestore	Restaurar un secreto
SecretRecover	Recuperar un secreto
SecretGetDeleted	Obtener un secreto eliminado
SecretListDeleted	Enumerar los secretos eliminados de un almacén
SecretNearExpiryEventGridNotification	Se ha publicado el evento de expiración próxima del secreto. Se registra independientemente de si existe una suscripción de Event Grid.
SecretExpiredEventGridNotification	Se ha publicado el evento de expiración del secreto. Se registra independientemente de si existe una suscripción de Event Grid.

Certificados

operationName	Comando de la API REST
CertificateGet	Obtención de información sobre un certificado
CertificateCreate	Crear un certificado
CertificateImport	Importar un certificado en un almacén
CertificateUpdate	Actualizar un certificado
CertificateList	Enumerar los certificados de un almacén
CertificateListVersions	Enumerar las versiones de un certificado
CertificateDelete	Eliminar un certificado
CertificatePurge	Purgar un certificado
CertificateBackup	Realizar una copia de seguridad de un certificado
CertificateRestore	Restaurar un certificado
CertificateRecover	Recuperar un certificado
CertificateGetDeleted	Obtener un certificado eliminado
CertificateListDeleted	Enumerar los certificados eliminados de un almacén
CertificatePolicyGet	Obtener directiva de certificados
CertificatePolicyUpdate	Actualizar directiva de certificados
CertificatePolicySet	Crear directiva de certificados
CertificateContactsGet	Obtener contactos de certificados
CertificateContactsSet	Establecer contactos de certificados
CertificateContactsDelete	Eliminar contactos de certificados
CertificateIssuerGet	Obtener el emisor de los certificados
CertificateIssuerSet	Establecer el emisor de los certificados
CertificateIssuerUpdate	Actualizar el emisor de los certificados
CertificateIssuerDelete	Eliminar el emisor de los certificados
CertificateIssuersList	Enumerar los emisores de certificados
CertificateEnroll	Inscribir un certificado
CertificateRenew	Renovar un certificado
CertificatePendingGet	Recuperar certificado pendiente
CertificatePendingMerge	La combinación del certificado está pendiente
CertificatePendingUpdate	La actualización del certificado está pendiente
CertificatePendingDelete	Eliminar certificado pendiente
CertificateNearExpiryEventGridNotification	Se ha publicado el evento de expiración próxima del certificado. Se registra independientemente de si existe una suscripción de Event Grid.
CertificateExpiredEventGridNotification	Se ha publicado el evento de expiración del certificado. Se registra independientemente de si existe una suscripción de Event Grid.

Uso de registros de Azure Monitor

Puede utilizar la solución Key Vault en registros de Azure Monitor para revisar los registros AuditEvent de Key Vault. En los registros de Azure Monitor, las consultas de los registros se usan para analizar los datos y obtener la información que necesita.

Para obtener más información, incluidas instrucciones para configurar esta opción, consulte Azure Key Vault en Azure Monitor.

Para obtener información sobre cómo analizar registros, vea Ejemplos de consultas de Kusto.

Pasos siguientes

• Habilitación del registro de Key Vault
• Azure Monitor
• Para ver un tutorial que use Azure Key Vault en una aplicación web .NET, consulte Uso de Azure Key Vault desde una aplicación web.
• Para conocer las referencias de programación, consulte la Guía del desarrollador de Azure Key Vault.
• Para obtener una lista de los cmdlets de Azure PowerShell 1.0 para Azure Key Vault, consulte Azure Key Vault Cmdlets(Cmdlets de Azure Key Vault).