Ügyfél által felügyelt Azure Monitor-kulcsok

Az Azure Monitor adatai Microsoft által felügyelt kulcsokkal titkosítva lesznek. A saját titkosítási kulcsával megvédheti a munkaterületeken tárolt adatokat és mentett lekérdezéseket. Az Azure Monitor ügyfél által felügyelt kulcsai nagyobb rugalmasságot biztosítanak a naplók hozzáférés-vezérlésének kezeléséhez. A konfigurálás után a csatolt munkaterületekre betöltött új adatok titkosítva lesznek az Azure Key Vaultban tárolt kulccsal vagy az Azure Key Vault által felügyelt "HSM"-sel.

A konfiguráció előtt tekintse át a korlátozásokat és a korlátozásokat .

Ügyfél által felügyelt kulcs áttekintése

A rest titkosítás a szervezetek általános adatvédelmi és biztonsági követelménye. Engedélyezheti, hogy az Azure teljesen kezelje a titkosítást inaktív állapotban, vagy különböző lehetőségeket használhat a titkosítási és titkosítási kulcsok szoros kezeléséhez.

Az Azure Monitor biztosítja, hogy az összes adat és mentett lekérdezés titkosítva legyen inaktív állapotban a Microsoft által felügyelt kulcsokkal (MMK). Az Azure Monitor titkosítási használata megegyezik az Azure Storage-titkosítás működésével.

A kulcs életciklusának kezeléséhez és az adatokhoz való hozzáférés visszavonásához saját kulccsal titkosíthatja az adatokat az Azure Key Vault használatával.

Az ügyfél által felügyelt kulcsok dedikált fürtökön érhetők el, és magasabb szintű védelmet és vezérlést biztosítanak. Az adatok kétszer titkosítva lesznek a tárolóban – szolgáltatásszinten a Microsoft által felügyelt kulcsok vagy az ügyfél által kezelt kulcsok használatával, az infrastruktúra szintjén pedig két különböző titkosítási algoritmus és két különböző kulcs használatával. A kettős titkosítás védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs megsérülhet. A dedikált fürtök lehetővé teszik az adatok védelmét a Lockbox használatával is.

Az elmúlt 14 napban betöltött vagy a lekérdezésekben legutóbb használt adatok a lekérdezések hatékonysága érdekében gyakran használt gyorsítótárban (SSD-háttérrel) maradnak. Az SSD-adatok a Microsoft-kulcsokkal titkosítva lesznek, függetlenül attól, hogy ügyfél által felügyelt kulcsokat konfigurálnak-e, de az SSD-hozzáférés vezérlése a kulcsok visszavonásához igazodik.

Fontos

A dedikált fürtök legalább napi 100 GB-os tarifacsomag-modellt használnak.

Az ügyfél által felügyelt kulcsok működése az Azure Monitorban

Az Azure Monitor felügyelt identitással biztosít hozzáférést az Azure Key Vaulthoz. A Log Analytics-fürt identitása a fürt szintjén támogatott. Ha több munkaterületen szeretné engedélyezni az ügyfél által felügyelt kulcsokat, a Log Analytics-fürterőforrás köztes identitáskapcsolatként szolgál a Key Vault és a Log Analytics-munkaterületek között. A fürt tárolója a fürthöz társított felügyelt identitással hitelesíti az Azure Key Vaultot a Microsoft Entra-azonosítón keresztül.

A fürtök két felügyelt identitástípust támogatnak: a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitást, míg egy adott identitás a forgatókönyvtől függően definiálható egy fürtben.

• A rendszer által hozzárendelt felügyelt identitás egyszerűbb, és a fürttel automatikusan jön létre, amikor identity type a rendszer be van állítva.SystemAssigned Ezt az identitást később használjuk a Key Vaulthoz való hozzáférés biztosításához adattitkosításhoz és visszafejtéshez.
• A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi, hogy az ügyfél által felügyelt kulcsokat konfigurálja a fürt létrehozásakor, amikor identity type be van állítva UserAssigned, és engedélyeket adjon meg a Key Vaultban a fürt létrehozása előtt.

Konfigurálhat ügyfél által felügyelt kulcsokat egy új fürtön, vagy egy olyan meglévő fürtön, amely munkaterületekhez van csatolva, és már betölti az adatokat. A csatolt munkaterületekre betöltött új adatok titkosítva lesznek a kulccsal, a régebbi adatok pedig a konfiguráció microsoftos kulcsokkal való titkosítása előtt. Az ügyfél által felügyelt kulcskonfiguráció nem befolyásolja a lekérdezéseket, amelyek továbbra is zökkenőmentesen futnak a régi és az új adatokon. A munkaterületeket bármikor leválaszthatja egy fürtről. A leválasztási kapcsolat Microsoft-kulcsokkal való titkosítása után betöltendő új adatok, a lekérdezések pedig zökkenőmentesen hajthatók végre a régi és az új adatok között.

Fontos

Az ügyfél által felügyelt kulcsok képessége regionális. Az Azure Key Vaultnak, a fürtnek és a csatolt munkaterületeknek ugyanabban a régióban kell lenniük, de különböző előfizetésekben lehetnek.

1. Key Vault
2. A Key Vaulthoz engedélyekkel rendelkező felügyelt identitással rendelkező Log Analytics-fürterőforrás – az identitás propagálása az aláfedt dedikált fürttárolóba történik
3. Dedikált fürt
4. Dedikált fürthöz társított munkaterületek

Titkosítási kulcsok művelete

A Storage-adattitkosítás háromféle kulcstípust érint:

• "KEK" – Kulcstitkosítási kulcs (az ügyfél által felügyelt kulcs)
• "AEK" – Fióktitkosítási kulcs
• "DEK" – Adattitkosítási kulcs

Az alábbi szabályokat kell betartani:

• A fürttároló minden tárfiókhoz egyedi titkosítási kulccsal rendelkezik, amelyet "AEK"-nek neveznek.
• Az "AEK" a "DEK-k" származtatására szolgál, amelyek a lemezre írt adatblokkok titkosításához használt kulcsok.
• Amikor konfigurál egy kulcsot a Key Vaultban, és frissítette a fürt kulcsadatait, a fürttároló "wrap" és "unwrap" "AEK" kéréseket hajt végre a titkosításhoz és a visszafejtéshez.
• A "KEK" soha nem hagyja el a Key Vaultot, és ha felügyelt HSM-et használ, az soha nem hagyja el a hardvert.
• Az Azure Storage a fürterőforráshoz társított felügyelt identitást használja a hitelesítéshez. Az Azure Key Vaultot a Microsoft Entra-azonosítón keresztül éri el.

Ügyfél által felügyelt kulcs kiépítési lépései

1. Azure Key Vault létrehozása és kulcs tárolása
2. Fürt létrehozása
3. Engedélyek megadása a Key Vaulthoz
4. Fürt frissítése a kulcsazonosító részleteivel
5. Munkaterületek összekapcsolása

Az ügyfél által felügyelt kulcskonfiguráció jelenleg nem támogatott az Azure Portalon, és a kiépítés PowerShell-, PARANCSSOR- vagy REST-kérésekkel is elvégezhető.

Titkosítási kulcs ("KEK") tárolása

Az Azure Key Management-termékek portfóliója felsorolja a használható tárolókat és felügyelt HSM-eket.

Hozzon létre vagy használjon egy meglévő Azure Key Vaultot abban a régióban, amelyben a fürt megtervezve van. A Key Vaultban hozzon létre vagy importáljon egy naplók titkosításához használandó kulcsot. Az Azure Key Vaultot helyreállíthatóként kell konfigurálni, hogy megvédje a kulcsot és az adatokhoz való hozzáférést az Azure Monitorban. Ezt a konfigurációt a Key Vault tulajdonságai között ellenőrizheti, a helyreállítható törlés és a törlés elleni védelmet is engedélyezni kell.

Ezek a beállítások cli-vel és PowerShell-lel frissíthetők a Key Vaultban:

• Helyreállítható törlés
• Védelmi őrök törlése a titkos kód kényszerítése ellen, a tároló a helyreállítható törlés után is

Fürt létrehozása

A fürtök felügyelt identitást használnak a Key Vaulttal való adattitkosításhoz. Konfigurálja identity type a tulajdonságot a SystemAssigned fürt létrehozásakor vagy UserAssigned létrehozásakor, hogy engedélyezze a Key Vaulthoz való hozzáférést az adattitkosítási és visszafejtési műveletekhez.

Identitásbeállítások a fürtben a rendszer által hozzárendelt felügyelt identitáshoz

{
  "identity": {
    "type": "SystemAssigned"
    }
}

Feljegyzés

Az identitástípus a fürt létrehozása után módosítható a betöltési vagy lekérdezési műveletek megszakítása nélkül, az alábbi szempontok figyelembe vételével

• Frissítés SystemAssigned erre: UserAssigned– UserAssign-identitás megadása a Key Vaultban, majd frissítés identity type a fürtben
• Frissítés UserAssigned – Mivel a SystemAssignedfürt identity type SystemAssignedfrissítése után rendszer által hozzárendelt felügyelt identitás jött létre, a következő lépéseket kell követni
  1. Fürt frissítése és a kulcs eltávolítása – beállítás keyVaultUri, keyNameés keyVersion "" értékkel
  2. Fürt identity type frissítése SystemAssigned
  3. A Key Vault frissítése és az identitás engedélyeinek megadása
  4. Frissítési kulcs a fürtben

Kövesse a Dedikált fürtök cikkben bemutatott eljárást.

Key Vault-engedélyek megadása

A Key Vaultban két engedélymodell van a fürthöz és az aláfedő tárhoz való hozzáférés biztosítására– Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) és a tároló hozzáférési szabályzatai (örökölt).

1. Ön által vezérelhető Azure RBAC hozzárendelése (ajánlott)

   Szerepkör-hozzárendelések hozzáadásához rendelkeznie kell olyan szerepkörrel és Microsoft.Authorization/roleAssignments/delete engedélyekkelMicrosoft.Authorization/roleAssignments/write, mint például a felhasználói hozzáférés rendszergazdája vagy a tulajdonos.

   1. Nyissa meg a Key Vaultot az Azure Portalon, és válassza a Beállítások>hozzáférés konfigurációja>Azure szerepköralapú hozzáférés-vezérlés és alkalmazás lehetőséget
   2. Kattintson az Ugrás gombra a hozzáférés-vezérlés (IAM) gombra, és adja hozzá a Key Vault titkosítási szolgáltatásának felhasználói szerepkör-hozzárendelését.
   3. Válassza a Felügyelt identitás lehetőséget a Tagok lapon, és válassza ki az identitásra és az identitásra vonatkozó előfizetést tagként

   

2. Tárolóelérési szabályzat hozzárendelése (örökölt)

   Nyissa meg a Key Vaultot az Azure Portalon, és válassza az Access Policy>Vault hozzáférési szabályzatot>+ Hozzáférési szabályzat hozzáadása lehetőséget a következő beállításokkal rendelkező szabályzat létrehozásához:

   • Kulcsengedélyek – válassza a Kulcs lekérése, körbefuttatása és a Kulcs kibontása lehetőséget.
   • Válassza ki az egyszerűt – a fürtben használt identitástípustól függően (rendszer vagy felhasználó által hozzárendelt felügyelt identitás)
     • Rendszer által hozzárendelt felügyelt identitás – adja meg a fürt nevét vagy a fürt egyszerű azonosítóját
     • Felhasználó által hozzárendelt felügyelt identitás – adja meg az identitás nevét

   

   A Get engedély szükséges annak ellenőrzéséhez, hogy a Key Vault helyreállíthatóként van-e konfigurálva a kulcs és az Azure Monitor-adatokhoz való hozzáférés védelme érdekében.

Fürt frissítése a kulcsazonosító részleteivel

A fürt minden műveletéhez szükség van a művelet engedélyére Microsoft.OperationalInsights/clusters/write . Ezt az engedélyt a műveletet tartalmazó */write tulajdonoson vagy közreműködőn keresztül, vagy a műveletet tartalmazó Microsoft.OperationalInsights/* Log Analytics-közreműködői szerepkörön keresztül lehet megadni.

Ez a lépés frissíti a dedikált fürttárolót az "AEK" körbefuttatásához és kibontásához használandó kulccsal és verzióval.

Fontos

• A kulcsforgatás lehet automatikus vagy explicit kulcsverziónként. A kulcsforgatásról a fürt kulcsazonosítóinak frissítése előtt talál megfelelő megközelítést.
• A fürtfrissítés nem tartalmazhat identitás- és kulcsazonosító-adatokat ugyanabban a műveletben. Ha mindkettőt frissítenie kell, a frissítésnek két egymást követő műveletben kell lennie.

Frissítse a KeyVaultProperties szolgáltatást a fürtben a kulcsazonosító részleteivel.

A művelet aszinkron, és eltarthat egy ideig.

Azure Portal

n/a

Azure CLI

Amikor "'" értéket key-versionad meg, a fürt mindig a Key Vault utolsó kulcsverzióját használja, és nincs szükség a fürt frissítésére a kulcsváltás után.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

PowerShell

Amikor "'" értéket KeyVersionad meg, a fürt mindig a Key Vault utolsó kulcsverzióját használja, és nincs szükség a fürt frissítésére a kulcsváltás után.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

REST

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2022-10-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

Válasz

A kulcs propagálása egy ideig tart. A frissítési állapot ellenőrzéséhez küldjön GET kérést a fürtre, és tekintse meg a KeyVaultProperties tulajdonságait. A nemrég frissített kulcsnak vissza kell térnie a válaszban.

Válasz a GET kérésre a kulcsfrissítés befejezésekor: 202 (Elfogadva) és fejléc

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Munkaterület csatolása fürthöz

Fontos

Ezt a lépést csak a fürt kiépítése után szabad végrehajtani. Ha a kiépítés előtt összekapcsolja a munkaterületeket és betölti az adatokat, a rendszer elveti a betöltött adatokat, és nem lesz helyreállítható.

A művelet végrehajtásához "írási" engedélyekkel kell rendelkeznie a munkaterületen és a fürtön. Microsoft.OperationalInsights/workspaces/write Tartalmazza és Microsoft.OperationalInsights/clusters/write.

Kövesse a Dedikált fürtök cikkben bemutatott eljárást.

Kulcs visszavonása

Fontos

• Az adatokhoz való hozzáférés visszavonásának ajánlott módja a kulcs letiltása vagy a Hozzáférési szabályzat törlése a Key Vaultban.
• Ha úgy állítja identity type be a fürtöt, hogy None az az adatokhoz való hozzáférést is visszavonja, ez a módszer nem ajánlott, mivel nem állíthatja vissza anélkül, hogy kapcsolatba lép a támogatási szolgálattal.

A fürttároló egy vagy több órán belül mindig tiszteletben tartja a kulcsengedélyek változásait, és a tároló elérhetetlenné válik. A csatolt munkaterületekre betöltött új adatok el lesznek dobva és helyreállíthatatlanok lesznek. Az adatok nem érhetők el ezeken a munkaterületeken, és a lekérdezések sikertelenek. A korábban betöltött adatok mindaddig tárolóban maradnak, amíg a fürt és a munkaterületek nem törlődnek. A nem elérhető adatokat az adatmegőrzési szabályzat szabályozza, és a megőrzés elérésekor törlődnek. Az elmúlt 14 napban betöltött adatok és a lekérdezésekben legutóbb használt adatok is gyakran használt gyorsítótárban (SSD-háttérrel) maradnak a lekérdezések hatékonysága érdekében. Az SSD-n lévő adatok törlődnek a kulcsvisszahívási művelet során, és elérhetetlenné válnak. A fürttároló rendszeresen megpróbálja elérni a Key Vaultot a körbefuttatáshoz és a kicsomagoláshoz, és ha a kulcs engedélyezve van, a kiírás sikeres lesz, az SSD-adatok újratöltődnek a tárolóból, az adatbetöltés és a lekérdezés pedig 30 percen belül folytatódik.

Kulcsrotálás

A kulcsforgatásnak két módja van:

• Autorotation – frissítse "keyVaultProperties" a fürt tulajdonságait, és hagyja ki "keyVersion" a tulajdonságot, vagy állítsa be a következőre "": . A Storage automatikusan a legújabb kulcsverziót használja.
• Explicit kulcsverzió frissítése – a tulajdonságok frissítése "keyVaultProperties" és a kulcsverzió frissítése a tulajdonságban "keyVersion" . A kulcsváltáshoz a fürt tulajdonságának "keyVersion" explicit frissítése szükséges. További információ: Fürt frissítése kulcsazonosítóval. Ha új kulcsverziót hoz létre a Key Vaultban, de nem frissíti a fürtön lévő kulcsot, a fürt tárterülete továbbra is az előző kulcsot használja. Ha a fürt új kulcsának frissítése előtt letiltja vagy törli a régi kulcsot, kulcsvisszavonási állapotba kerül.

A kulcsforgatási művelet során és után az összes adat elérhető marad. Az adatok mindig az "AEK" fióktitkosítási kulccsal titkosítva lesznek, amely a Key Vault új kulcstitkosítási kulcsának ("KEK") verziójával van titkosítva.

Ügyfél által felügyelt kulcs mentett lekérdezésekhez és naplókeresési riasztásokhoz

A Log Analyticsben használt lekérdezési nyelv kifejező jellegű, és bizalmas információkat tartalmazhat a megjegyzésekben vagy a lekérdezés szintaxisában. Egyes szervezetek megkövetelik, hogy az ügyfél által felügyelt kulcsházirendben védve legyenek ezek az információk, és a kulcsával titkosított lekérdezéseket kell menteni. Az Azure Monitor lehetővé teszi a mentett lekérdezések és naplókeresési riasztások tárolását a kulcsával titkosítva a saját tárfiókjában, amikor a munkaterülethez kapcsolódik.

Ügyfél által felügyelt kulcs munkafüzetekhez

A mentett lekérdezések és naplókeresési riasztások ügyfél által felügyelt kulcsával az Azure Monitor lehetővé teszi a kulccsal titkosított munkafüzet-lekérdezések tárolását a saját tárfiókjában, amikor a Tartalom mentése azure-tárfiókba lehetőséget választja a "Mentés" munkafüzetben.

Feljegyzés

A lekérdezések titkosítva maradnak a Microsoft-kulccsal ("MMK") az ügyfél által felügyelt kulcskonfigurációtól függetlenül: Azure-irányítópultok, Azure Logic App, Azure Notebooks és Automation Runbookok.

A tárfiók mentett lekérdezésekhez való csatolásakor a szolgáltatás tárolja a mentett lekérdezéseket és a naplókeresési riasztási lekérdezéseket a Tárfiókban. A tárfiók inaktív állapotú titkosítási szabályzatának szabályozásával ügyfél által felügyelt kulccsal védheti a mentett lekérdezéseket és naplókeresési riasztásokat. Ön lesz azonban a felelős az adott tárfiókhoz kapcsolódó költségekért.

Megfontolandó szempontok az ügyfél által felügyelt kulcs lekérdezésekhez való beállítása előtt

• "Írási" engedélyekkel kell rendelkeznie a munkaterületen és a tárfiókban.
• Győződjön meg arról, hogy a Tárfiókot ugyanabban a régióban hozza létre, amelyben a Log Analytics-munkaterület található, ügyfél által felügyelt kulcstitkosítással. Ez azért fontos, mert a mentett lekérdezések táblatárolóban vannak tárolva, és csak a tárfiók létrehozásakor titkosíthatók.
• A lekérdezéscsomagban mentett lekérdezések nincsenek ügyfél által felügyelt kulccsal titkosítva. Válassza a Mentés örökölt lekérdezésként lehetőséget a lekérdezések mentésekor az ügyfél által felügyelt kulccsal való védelemhez.
• A tárolóba mentett lekérdezések szolgáltatásösszetevőknek minősülnek, és formátumuk változhat.
• A tárfiók lekérdezésekhez való csatolása eltávolítja a meglévő mentési lekérdezéseket a munkaterületről. A másolás a konfiguráció előtt szükséges lekérdezéseket menti. A mentett lekérdezéseket a PowerShell használatával tekintheti meg.
• A lekérdezések "előzményei" és a "rögzítés az irányítópulton" nem támogatottak a Storage-fiók lekérdezésekhez való összekapcsolásakor.
• Egyetlen tárfiókot egy munkaterülethez csatolhat a mentett lekérdezésekhez és a naplókeresési riasztási lekérdezésekhez.
• A naplókeresési riasztások blobtárolóba vannak mentve, és az ügyfél által felügyelt kulcstitkosítás konfigurálható a tárfiók létrehozásakor vagy később.
• Az aktivált naplókeresési riasztások nem tartalmaznak keresési eredményeket vagy riasztási lekérdezést. A riasztási dimenziókkal kontextust kaphat az aktivált riasztásokban.

BYOS konfigurálása mentett lekérdezésekhez

Csatoljon egy tárfiókot a lekérdezésekhez, hogy a mentett lekérdezések megmaradjanak a tárfiókban.

Azure Portal

n/a

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

PowerShell

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

A konfiguráció után a rendszer minden új mentett keresési lekérdezést a tárba ment.

BYOS konfigurálása naplókeresési riasztási lekérdezésekhez

Csatoljon egy tárfiókot a riasztásokhoz, hogy a naplókeresési riasztások lekérdezései megmaradjanak a tárfiókban.

Azure Portal

n/a

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

PowerShell

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

A konfiguráció után a rendszer menti az új riasztási lekérdezéseket a tárolóba.

Ügyfélszéf

A Lockbox lehetővé teszi, hogy jóváhagyja vagy elutasítsa a Microsoft mérnökének az adatokhoz való hozzáférésre vonatkozó kérését egy támogatási kérelem során.

A lockbox az Azure Monitor dedikált fürtjében van megadva, ahol az adatok elérésére vonatkozó engedély az előfizetés szintjén van megadva.

További információ a Microsoft Azure-hoz készült Ügyfélzárolásról

Ügyfél által felügyelt kulcsműveletek

Az ügyfél által felügyelt kulcs dedikált fürtön érhető el, és ezekre a műveletekre a dedikált fürtről szóló cikkben hivatkozunk.

• Az összes fürt lekérése az erőforráscsoportban
• Az összes fürt lekérése előfizetésben
• Kapacitásfoglalás frissítése a fürtben
• BillingType frissítése a fürtben
• Munkaterület leválasztása fürtről
• A fürt törlése

Korlátozások és megkötések

• Az egyes régiókban és előfizetésekben legfeljebb öt aktív fürt hozható létre.

• Legfeljebb hét fenntartott fürt (aktív vagy nemrég törölt) létezhet az egyes régiókban és előfizetésekben.

• Egy fürthöz legfeljebb 1000 Log Analytics-munkaterület csatolható.

• Egy adott munkaterületen legfeljebb két munkaterület-kapcsolati művelet engedélyezett 30 nap alatt.

• A fürtök áthelyezése egy másik erőforráscsoportba vagy előfizetésbe jelenleg nem támogatott.

• A fürtfrissítés nem tartalmazhat identitás- és kulcsazonosító-adatokat ugyanabban a műveletben. Ha mindkettőt frissítenie kell, a frissítésnek két egymást követő műveletben kell lennie.

• A Lockbox jelenleg nem érhető el Kínában.

• A lockbox nem vonatkozik a kiegészítő csomaggal rendelkező táblákra.

• A dupla titkosítás automatikusan konfigurálva van a 2020 októberétől a támogatott régiókban létrehozott fürtökhöz. Ellenőrizze, hogy a fürt kettős titkosításra van-e konfigurálva, ha get kérést küld a fürtre, és megfigyeli, hogy az isDoubleEncryptionEnabled érték a kettős titkosítást használó fürtök esetében van-e true engedélyezve.

  • Ha létrehoz egy fürtöt, és hibaüzenetet kap – "a régiónév nem támogatja a fürtök dupla titkosítását", akkor is létrehozhatja a fürtöt dupla titkosítás nélkül, ha hozzáadja "properties": {"isDoubleEncryptionEnabled": false} a REST-kérelem törzséhez.
  • A kettős titkosítási beállítások nem módosíthatók a fürt létrehozása után.

• A csatolt munkaterület törlése a fürthöz csatolva engedélyezett. Ha úgy dönt, hogy helyreállítja a munkaterületet a helyreállítható törlési időszakban, az visszaáll az előző állapotra, és a fürthöz lesz csatolva.

• Az ügyfél által felügyelt kulcstitkosítás az újonnan betöltött adatokra vonatkozik a konfigurációs idő után. A konfiguráció előtt betöltött adatok Microsoft-kulcsokkal titkosítva maradnak. Az ügyfél által felügyelt kulcskonfiguráció előtt és után betöltött adatokat zökkenőmentesen kérdezheti le.

• Az Azure Key Vaultot helyreállíthatóként kell konfigurálni. Ezek a tulajdonságok alapértelmezés szerint nincsenek engedélyezve, és parancssori felülettel vagy PowerShell-lel kell konfigurálni:
  

  • Helyreállítható törlés.
  • A törlés elleni védelmet be kell kapcsolni, hogy védelmet nyújtsunk a titkos kulcs kényszerített törlésének ellen, még a helyreállítható törlés után is.

• Az Azure Key Vaultnak, a fürtnek és a munkaterületeknek ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lenniük, de különböző előfizetésekben lehetnek.

• Ha úgy állítja identity type be a fürtöt, hogy None az az adatokhoz való hozzáférést is visszavonja, ez a módszer nem ajánlott, mivel nem állíthatja vissza anélkül, hogy kapcsolatba lép a támogatási szolgálattal. Az adatokhoz való hozzáférés visszavonásának ajánlott módja a kulcs visszavonása.

• Nem használhat ügyfél által felügyelt kulcsot felhasználó által hozzárendelt felügyelt identitással, ha a Key Vault privát kapcsolaton (vNet) található. Ebben a forgatókönyvben a rendszer által hozzárendelt felügyelt identitást használhatja.

• A kiegészítő táblacsomag nem támogatja az ügyfél által felügyelt kulcsokat. A kiegészítő csomaggal rendelkező táblákban lévő adatok a Microsoft által felügyelt kulcsokkal vannak titkosítva, még akkor is, ha a Log Analytics-munkaterület többi részén lévő adatokat saját titkosítási kulccsal védi.

Hibaelhárítás

• A Key Vault rendelkezésre állásának viselkedése:

  • Normál művelet – a tároló rövid ideig gyorsítótárazza az "AEK"-t, és visszatér a Key Vaulthoz, hogy rendszeresen kicsomagolhassa.

  • A Key Vault csatlakozási hibái – a tároló kezeli az átmeneti hibákat (időtúllépések, kapcsolati hibák, "DNS" problémák) azáltal, hogy lehetővé teszi a kulcsok gyorsítótárban maradását a rendelkezésre állási probléma során, és kiküszöböli a három pontot és a rendelkezésre állással kapcsolatos problémákat. A lekérdezési és betöltési képességek megszakítás nélkül folytatódnak.

• A Key Vault hozzáférési sebessége – az a gyakoriság, amellyel a fürttároló hozzáfér a Key Vaulthoz a körbefuttatáshoz és a kicsomagoláshoz – 6–60 másodperc között van.

• Ha a fürt kiépítési vagy frissítési állapotban van, a frissítés sikertelen lesz.

• Ha ütközést tapasztal – hiba történt egy fürt létrehozásakor, előfordulhat, hogy az azonos nevű fürtöt törölték az elmúlt 14 napban, és fenntartották. A törölt fürt neve a törlés után 14 nappal válik elérhetővé.

• A munkaterület fürthöz csatolása meghiúsul, ha a munkaterület egy másik fürthöz van csatolva.

• Ha létrehoz egy fürtöt, és azonnal megadja a KeyVaultProperties értéket, a művelet meghiúsulhat, amíg egy identitás hozzá nem rendelve a fürthöz, és meg nem adja a Key Vaultnak.

• Ha a keyVaultProperties szolgáltatással frissíti a meglévő fürtöt, és a Key Vaultban hiányzik a "Get" kulcselérési szabályzat, a művelet meghiúsul.

• Ha nem tudja üzembe helyezni a fürtöt, ellenőrizze, hogy az Azure Key Vault, a fürt és a csatolt munkaterületek ugyanabban a régióban találhatók-e. Az előfizetések különböző előfizetésekben lehetnek.

• Ha elforgatja a kulcsot a Key Vaultban, és nem frissíti a fürt új kulcsazonosítójának részleteit, a fürt továbbra is az előző kulcsot használja, és az adatok elérhetetlenné válnak. Frissítse a fürt új kulcsazonosító-adatait az adatbetöltés és a lekérdezés folytatásához. Frissítheti a kulcsverziót a "'"-vel, hogy a tár mindig automatikusan használja a lates kulcsverziót.

• Egyes műveletek hosszú ideig futnak, és eltarthat egy ideig, például a fürt létrehozása, a fürtkulcs frissítése és a fürt törlése. A művelet állapotának ellenőrzéséhez küldje el a GET kérést a fürtnek vagy a munkaterületnek, és figyelje meg a választ. A leválasztott munkaterületen például nem található meg a clusterResourceId a szolgáltatások alatt.

• Hibaüzenetek

  Fürtfrissítés

  • 400 – A fürt törlési állapotban van. Az aszinkron művelet folyamatban van. A fürtnek a frissítési művelet végrehajtása előtt végre kell hajtania a műveletet.
  • 400 – A KeyVaultProperties nem üres, de rossz formátumú. Lásd a kulcsazonosító frissítését.
  • 400 – Nem sikerült érvényesíteni a kulcsokat a Key Vaultban. Lehet, hogy az engedélyek hiánya vagy a kulcs nem létezik. Ellenőrizze, hogy beállította-e a kulcs- és hozzáférési szabályzatot a Key Vaultban.
  • 400 – A kulcs nem állítható helyre. A Key Vaultot helyreállítható törlésre és törlésre kell állítani. Lásd a Key Vault dokumentációját
  • 400 – A művelet most nem hajtható végre. Várja meg, amíg az Async művelet befejeződik, és próbálkozzon újra.
  • 400 – A fürt törlési állapotban van. Várja meg, amíg az Async művelet befejeződik, és próbálkozzon újra.

  Fürt lekérése

  • 404 – A fürt nem található, lehetséges, hogy törölték a fürtöt. Ha ilyen nevű fürtöt próbál létrehozni, és ütközést kap, a fürt törlési folyamatban van.

Következő lépések

• Tudnivalók a Dedikált Log Analytics-fürt számlázásáról
• Tudnivalók a Log Analytics-munkaterületek megfelelő kialakításáról