Journalisation d’Azure Key Vault

Une fois que vous avez créé un ou plusieurs coffres de clés, vous voulez probablement contrôler qui accède à ces derniers, par quel moyen et quand. L’activation de la journalisation d’Azure Key Vault enregistre les informations dans un compte de stockage Azure que vous fournissez. Pour obtenir des instructions pas à pas, consultez Comment activer la journalisation de Key Vault.

Vous pouvez accéder aux informations de journalisation 10 minutes (au maximum) après l’opération sur le coffre de clés. Dans la plupart des cas, ce sera plus rapide. C’est à vous de gérer vos journaux d’activité dans votre compte de stockage :

• Utilisez les méthodes de contrôle d’accès Azure standard dans votre compte de stockage pour assurer la sécurité de vos journaux en limitant l’accès à ces derniers.
• Supprimez les journaux d’activité que vous ne souhaitez plus conserver dans votre compte de stockage.

Pour obtenir des informations générales sur Key Vault, consultez l’article Qu’est-ce qu’Azure Key Vault ?. Pour plus d’informations sur les endroits où Key Vault est disponible, consultez la page de tarification. Découvrez plus d’informations sur l’utilisation d’Azure Monitor pour Key Vault.

Interpréter vos journaux d’activité Key Vault

Quand vous activez la journalisation, un nouveau conteneur appelé insights-logs-auditevent est automatiquement créé pour le compte de stockage que vous avez spécifié. Vous pouvez utiliser ce même compte de stockage pour collecter les journaux de plusieurs coffres de clés.

Les objets blob individuels sont stockés sous forme de texte en tant qu’objet blob JSON. Examinons un exemple d’entrée du journal.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

Le tableau ci-après répertorie les noms de champ et leurs descriptions :

Nom du champ	Description
time	Date et heure en temps universel coordonné (UTC).
resourceId	ID de ressource Azure Resource Manager. Pour les journaux d’activité de coffre de clés, il s’agit toujours de l’ID de ressource du coffre de clés.
operationName	Nom de l’opération, comme indiqué dans le tableau suivant.
operationVersion	Version d’API REST demandée par le client.
category	Type de résultat. Pour les journaux Key Vault, AuditEvent est la seule valeur disponible.
resultType	Résultat de la requête d’API REST.
resultSignature	État HTTP
resultDescription	Description supplémentaire du résultat, si disponible.
durationMs	Délai nécessaire pour répondre à la demande API REST, en millisecondes. L’heure du réseau n’est pas incluse dans ce chiffre et donc, le temps mesuré côté client peut ne pas correspondre à cette durée.
callerIpAddress	Adresse IP du client qui a effectué la requête.
correlationId	GUID facultatif que le client peut transférer pour mettre en corrélation les journaux d’activité côté client avec les journaux d’activité côté service (Key Vault).
identity	Identité issue du jeton qui a été présenté dans la requête d’API REST. Généralement un « utilisateur », un « principal de service » ou la combinaison « user+appId », par exemple lorsque la requête provient d’une cmdlet Azure PowerShell.
properties	Informations variables en fonction de l’opération (operationName). Dans la plupart des cas, ce champ contient des informations sur le client (chaîne d’agent utilisateur transmise par le client), l’URI de requête d’API REST exacte et le code d’état HTTP. En outre, quand un objet est retourné suite à une requête (par exemple, KeyCreate ou VaultGet), ce champ contient également l’URI de la clé (sous la forme id), l’URI du coffre ou l’URI du secret.

Les valeurs du champ operationName sont indiquées au format ObjectVerb. Par exemple :

• Toutes les opérations de coffre de clés présentent le format Vault<action>, comme VaultGet et VaultCreate.
• Toutes les opérations de clé présentent le format Key<action>, comme KeySign et KeyList.
• Toutes les opérations de secret présentent le format Secret<action>, comme SecretGet et SecretListVersions.

Le tableau ci-après répertorie les valeurs operationName et les commandes API REST correspondantes :

Table des noms d’opération

Coffre

operationName	Commande API REST
Authentification	Authentifiez-vous via le point de terminaison Microsoft Entra
VaultGet	Obtention des informations sur un coffre de clés
VaultPut	Création ou mise à jour d’un coffre de clés
VaultDelete	Suppression d’un coffre de clés
VaultPatch	Mise à jour d’un coffre de clés
VaultList	Liste de l’ensemble des coffres de clés dans un groupe de ressources
VaultPurge	Vider le coffre supprimé
VaultRecover	Récupérer un coffre supprimé
VaultGetDeleted	Obtenir un coffre supprimé
VaultListDeleted	Lister les coffres supprimés
VaultAccessPolicyChangedEventGridNotification	Événement lié à la modification de la stratégie d’accès au coffre publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.

Clés

operationName	Commande API REST
KeyCreate	Création d’une clé
KeyGet	Obtention des informations sur une clé
KeyImport	Importation d’une clé dans un coffre
KeyDelete	Suppression d’une clé
KeySign	Signature avec une clé
KeyVerify	Vérification à l’aide d’une clé
KeyWrap	Encapsulage d’une clé
KeyUnwrap	Désencapsulage d’une clé
KeyEncrypt	Chiffrement avec une clé
KeyDecrypt	Déchiffrement avec une clé
KeyUpdate	Mise à jour d’une clé
KeyList	Liste des clés dans un coffre
KeyListVersions	Liste des versions d’une clé
KeyPurge	Vider une clé
KeyBackup	Sauvegarder une clé
KeyRestore	Restauration d’une clé
KeyRecover	Récupérer une clé
KeyGetDeleted	Obtenir une clé supprimée
KeyListDeleted	Lister les clés supprimées dans un coffre
KeyNearExpiryEventGridNotification	Événement lié à une clé proche de l’expiration publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.
KeyExpiredEventGridNotification	Événement lié à une clé expirée publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.
KeyRotate	Rotation de clé
KeyRotateIfDue	Opération de rotation de clé automatisée planifiée basée sur une stratégie de rotation définie
KeyRotationPolicyGet	Get Key Rotation Policy
KeyRotationPolicySet	Update Key Rotation Policy

Secrets

operationName	Commande API REST
SecretSet	Création d’une clé secrète
SecretGet	Obtention d’un secret
SecretUpdate	Mise à jour d’une clé secrète
SecretDelete	Suppression d’une clé secrète
SecretList	Liste des clés secrètes d’un coffre
SecretListVersions	Liste des versions d’une clé secrète
SecretPurge	Vider un secret
SecretBackup	Sauvegarder un secret
SecretRestore	Restaurer un secret
SecretRecover	Récupérer un secret
SecretGetDeleted	Obtenir un secret supprimé
SecretListDeleted	Lister les secrets supprimés dans un coffre
SecretNearExpiryEventGridNotification	Événement lié à un secret proche de l’expiration publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.
SecretExpiredEventGridNotification	Événement lié à un secret expiré publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.

Certificates

operationName	Commande API REST
CertificateGet	Obtenir des informations sur un certificat
CertificateCreate	Créer un certificat
CertificateImport	Importer un certificat dans un coffre
CertificateUpdate	Mettre à jour un certificat
CertificateList	Lister les certificats d’un coffre
CertificateListVersions	Lister les versions d’un certificat
CertificateDelete	Supprimer un certificat
CertificatePurge	Vider un certificat
CertificateBackup	Sauvegarder un certificat
CertificateRestore	Restaurer un certificat
CertificateRecover	Récupérer un certificat
CertificateGetDeleted	Obtenir un certificat supprimé
CertificateListDeleted	Lister les certificats supprimés d’un coffre
CertificatePolicyGet	Obtenir une stratégie de certificat
CertificatePolicyUpdate	Mettre à jour une stratégie de certificat
CertificatePolicySet	Créer une stratégie de certificat
CertificateContactsGet	Obtenir des contacts de certificat
CertificateContactsSet	Définir des contacts de certificat
CertificateContactsDelete	Supprimer des contacts de certificat
CertificateIssuerGet	Obtenir un émetteur de certificat
CertificateIssuerSet	Définir un émetteur de certificat
CertificateIssuerUpdate	Mettre à jour un émetteur de certificat
CertificateIssuerDelete	Supprimer un émetteur de certificat
CertificateIssuersList	Lister les émetteurs de certificats
CertificateEnroll	Inscrire un certificat
CertificateRenew	Renouveler un certificat
CertificatePendingGet	Récupérer le certificat en attente
CertificatePendingMerge	La fusion du certificat est en attente
CertificatePendingUpdate	La mise à jour du certificat est en attente
CertificatePendingDelete	Supprimer un certificat en attente
CertificateNearExpiryEventGridNotification	Événement lié à un certificat proche de l’expiration publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.
CertificateExpiredEventGridNotification	Événement lié à un certificat expiré publié. Il est journalisé indépendamment de l’existence d’un abonnement Event Grid.

Utiliser les journaux d’activité Azure Monitor

Vous pouvez utiliser la solution Key Vault dans les journaux Azure Monitor pour consulter les journaux AuditEvent de Key Vault. Dans les journaux Azure Monitor, vous utilisez des requêtes de journaux pour analyser les données et obtenir les informations dont vous avez besoin.

Pour plus d’informations, notamment sur la procédure de configuration correspondante, consultez Azure Key Vault dans Azure Monitor.

Pour mieux comprendre comment analyser les journaux, voir Exemples de requêtes de journal Kusto

Étapes suivantes

• Guide pratique pour activer la journalisation de Key Vault
• Azure monitor
• Pour accéder à un tutoriel utilisant Azure Key Vault dans une application web .NET, consultez l’article Utilisation d’Azure Key Vault à partir d’une application web.
• Pour les références de programmation, consultez le guide du développeur de coffre de clés Azure.
• Pour obtenir la liste des cmdlets Azure PowerShell 1.0 concernant Azure Key Vault, consultez l’article Azure Key Vault Cmdlets (Cmdlets Azure Key Vault).