Configuración de alertas de Azure Key Vault

  • Artículo

Una vez que haya empezado a usar Key Vault para almacenar los secretos de producción, es importante supervisar el estado del almacén de claves para asegurarse de que el servicio funciona según lo previsto.

Cuando empiece a escalar el servicio, aumentará el número de solicitudes que se envían al almacén de claves. Este aumento puede aumentar la latencia de las solicitudes. En casos extremos, puede hacer que las solicitudes se limiten y afecten al rendimiento del servicio. También debe saber si el almacén de claves envía un número inusual de códigos de error, para que pueda resolver rápidamente cualquier problema con una configuración con una directiva de acceso o el firewall.

En este artículo se muestra cómo configurar alertas a umbrales especificados para que pueda avisar a su equipo para que realice una acción inmediatamente si el almacén de claves tiene un estado incorrecto. Puede configurar alertas que envíen un correo electrónico (preferiblemente a una lista de distribución del equipo), desencadenar una notificación de Azure Event Grid, o llamar a un número de teléfono o enviar un mensaje de texto a este.

Puede elegir entre estos tipos de alerta:

  • Una alerta estática basada en un valor fijo
  • Una alerta dinámica que le notifique si una métrica supervisada supera el límite medio del almacén de claves un cierto número de veces en un intervalo de tiempo definido.

Importante

Tenga en cuenta que las alertas configuradas recientemente pueden tardar hasta 10 minutos en empezar a enviar notificaciones.

Este artículo se centra en las alertas de Key Vault. Para obtener información sobre la información de Key Vault, que combina registros y métricas para proporcionar una solución de supervisión global, consulte Supervisión de un servicio de Key Vault con información de Key Vault.

Configuración de un grupo de acciones

Un grupo de acciones es una lista configurable de notificaciones y propiedades. El primer paso para configurar alertas es crear un grupo de acciones y elegir un tipo de alerta:

  1. Inicie sesión en Azure Portal.

  2. Busque Alertas en el cuadro de búsqueda.

  3. Seleccione Administrar acciones.

    Captura de pantalla donde se resalta el botón Administrar acciones.

  4. Seleccione + Agregar grupo de acciones.

    Captura de pantalla donde se resalta el botón para agregar un grupo de acciones.

  5. Elija el valor Tipo de acción para el grupo de acciones. En este ejemplo, crearemos una alerta por correo electrónico y SMS. Seleccione Correo electrónico/SMS/Inserción/Voz.

    Captura de pantalla donde se resaltan las selecciones para agregar un grupo de acciones.

  6. En el cuadro de diálogo, escriba los detalles de correo electrónico y SMS y, a continuación, seleccione Aceptar.

    Captura de pantalla en la que se muestran las selecciones para agregar un correo electrónico y una alerta por correo electrónico y S M S.

Configuración de los umbrales de alerta

A continuación, cree una regla y configure los umbrales que desencadenarán una alerta:

  1. Seleccione el recurso de Key Vault en Azure Portal y seleccione Alertas en Supervisión.

    Captura de pantalla en la que se muestra la opción de menú Alertas en la sección Supervisión.

  2. Seleccione Nueva regla de alertas.

    Captura de pantalla en la que se muestra el botón para agregar una nueva regla de alertas.

  3. Seleccione el ámbito de la regla de alertas. Puede seleccionar un solo almacén o varios.

    Importante

    Si se seleccionan varios almacenes para el ámbito de las alertas, todos ellos deben estar en la misma región. Tendrá que configurar reglas de alerta independientes para almacenes en regiones diferentes.

    Captura de pantalla en la que se muestra cómo se puede seleccionar un almacén.

  4. Seleccione los umbrales que definen la lógica de las alertas y, a continuación, seleccione Agregar. El equipo de Key Vault recomienda configurar los siguientes umbrales para la mayoría de las aplicaciones, pero puede ajustarlos en función de las necesidades de la aplicación:

    • La disponibilidad de Key Vault baja por debajo del 100 % (umbral estático).

    Importante

    Esta alerta incluye actualmente operaciones de ejecución prolongada e informa de que el servicio no está disponible. Puede supervisar los registros de Key Vault para ver si se produce un error en las operaciones debido a que el servicio no está disponible en su lugar

    • La latencia de Key Vault es superior a 1000 ms (umbral estático).

    Nota:

    La intención del umbral de 1000 ms es notificar que el servicio Key Vault de esta región tiene una carga de trabajo superior al promedio. Nuestro Acuerdo de Nivel de Servicio para operaciones de Key Vault es varias veces mayor, consulte el Acuerdo de Nivel de Servicio para Online Services para el Acuerdo de Nivel de Servicio actual. Para alertar cuando las operaciones de Key Vault están fuera del Acuerdo de Nivel de Servicio, use los umbrales de los documentos del Acuerdo de Nivel de Servicio.

    • La saturación general del almacén es mayor que el 75 % (umbral estático).
    • La saturación total del almacén supera el promedio (umbral dinámico)
    • Los códigos de error totales son mayores que el promedio (umbral dinámico).

    Captura de pantalla en la que se muestra dónde se seleccionan las condiciones de las alertas.

Ejemplo: Configuración de un umbral de alerta estático para la latencia

  1. Seleccione Latencia general de la API de servicio como el nombre de la señal

    Captura de pantalla en la que se muestra la selección de un nombre de señal.

  2. Utilice los siguientes parámetros de configuración:

    • Establezca Umbral en Estático.
    • Establezca el operador en Mayor que.
    • Establezca el tipo de agregación en Media.
    • Establezca Valor de umbral en 1000.
    • Establezca Granularidad de agregación (período) en 5 minutos.
    • Establezca Frecuencia de evaluación en Cada minuto.

    Captura de pantalla en la que se muestra la lógica configurada para un umbral de alerta estático.

  3. Seleccione Listo.

Ejemplo: Configuración de un umbral de alerta dinámico para la saturación del almacén

Si usa una alerta dinámica, podrá ver los datos históricos del almacén de claves que ha seleccionado. El área azul representa el uso medio del almacén de claves. El área roja muestra los picos que habrían desencadenado una alerta, siempre que se cumplan otros criterios de la configuración de la alerta. Los puntos rojos muestran instancias de infracciones en las que se han cumplido los criterios de la alerta durante la ventana de tiempo agregada.

Captura de pantalla en la que se muestra un grafo de la saturación total del almacén.

Puede establecer una alerta para que se active después de un determinado número de infracciones en un período de tiempo establecido. Si no desea incluir datos pasados, hay una opción para excluirlos en la configuración avanzada.

  1. Utilice los siguientes parámetros de configuración:

    • Establezca Nombre de dimensión en Tipo de transacción y Valores de dimensión en vaultoperation.
    • Establezca Umbral en Dinámico.
    • Establezca el operador en Mayor que.
    • Establezca el tipo de agregación en Media.
    • Establezca Sensibilidad del umbral en Intermedio.
    • Establezca Granularidad de agregación (período) en 5 minutos.
    • Establezca Frecuencia de evaluación en Cada minuto.
    • Configure Opciones avanzadas (opcional).

    Captura de pantalla en la que se muestra la lógica configurada para un umbral de alerta dinámico.

  2. Seleccione Listo.

  3. Seleccione Agregar para agregar el grupo de acciones que ha configurado.

    Captura de pantalla en la que se muestra el botón para agregar un grupo de acciones.

  4. En los detalles de la alerta, habilite la alerta y asigne una gravedad.

    Captura de pantalla en la que se muestra dónde habilitar la alerta y asignar la importancia.

  5. Cree la alerta.

Ejemplo de alerta por correo electrónico

Si ha seguido todos los pasos anteriores, recibirá alertas por correo electrónico cuando el almacén de claves cumpla los criterios de alerta que ha configurado. La siguiente alerta por correo electrónico es un ejemplo.

Captura de pantalla donde se resalta la información necesaria para configurar una alerta por correo electrónico.

Ejemplo: alerta de consulta de registro para certificados de expiración próxima

Puede establecer una alerta para notificarle los certificados que están a punto de expirar.

Nota:

Los eventos de expiración cercana para los certificados se registran 30 días antes de la expiración.

  1. Vaya a Registros y pegue la siguiente consulta en la ventana de consulta

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Seleccione Nueva regla de alertas.

    Captura de pantalla que muestra la ventana de consulta con la nueva regla de alerta seleccionada.

  3. En la pestaña Condición use la siguiente configuración:

    • En Medida establezca Granularidad de la agregación en 1 día
    • En Dividir por dimensiones establezca Columna Id. de recurso en ResourceId.
    • Establezca CertName y DayTillExpire como dimensiones.
    • En Lógica de alerta establezca Valor del umbral en 0 y Frecuencia de evaluación en 1 día.

    Captura de pantalla que muestra la configuración de la condición de alerta.

  4. En la pestaña Acciones configure una alerta para enviar un correo electrónico

    1. Seleccione Crear grupo de acciones

      Captura de pantalla que muestra cómo crear un grupo de acciones.

    2. Configure Crear grupo de acciones

      Captura de pantalla que muestra cómo configurar el grupo de acciones.

    3. Configure Notificaciones para enviar un correo electrónico

      Captura de pantalla que muestra cómo configurar la notificación.

    4. Configure Detalles para desencadenar una alerta de advertencia

      Captura de pantalla que muestra cómo configurar los detalles de la notificación.

    5. Seleccionar Revisar y crear.

Pasos siguientes

Use las herramientas que ha configurado en este artículo para supervisar activamente el estado de su almacén de claves.