Key Vault-értesítések fogadása és megválaszolás a Azure Event Grid
Az Azure Key Vault integrációja Azure Event Grid lehetővé teszi a felhasználói értesítéseket, ha a kulcstartóban tárolt titkos kulcs állapota megváltozott. A funkció áttekintését lásd: Monitorozási Key Vault az Event Griddel.
Ez az útmutató azt ismerteti, hogyan fogadhat Key Vault értesítéseket az Event Griden keresztül, és hogyan reagálhat az állapotváltozásokra Azure Automation keresztül.
Előfeltételek
- Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
- Kulcstartó az Azure-előfizetésben. Gyorsan létrehozhat egy új kulcstartót a Titkos kód beállítása és lekérése az Azure Key Vault az Azure CLI használatával című cikk lépéseit követve.
Alapelvek
Az Event Grid a felhő eseményszolgáltatása. Az útmutató lépéseit követve előfizethet a Key Vault eseményeire, és átirányíthatja az eseményeket az Automationbe. Ha a kulcstartó egyik titkos kódja hamarosan lejár (a lejárat dátuma előtt 30 nappal van meghatározva), az Event Grid értesítést kap az állapotváltozásról, és HTTP POST-t küld a végpontnak. A webhook ezután elindítja egy PowerShell-szkript Automation-végrehajtását.
Automation-fiók létrehozása
Automation-fiók létrehozása a Azure Portal keresztül:
Lépjen portal.azure.com, és jelentkezzen be az előfizetésbe.
A keresőmezőbe írja be az Automation-fiókok kifejezést.
A keresősáv legördülő listájának Szolgáltatások szakaszában válassza az Automation-fiókok lehetőséget.
Válassza a Hozzáadás lehetőséget.
Adja meg a szükséges adatokat az Automation-fiók hozzáadása panelen, majd válassza a Létrehozás lehetőséget.
Runbook létrehozása
Miután elkészült az Automation-fiókja, hozzon létre egy runbookot.
Válassza ki a létrehozott Automation-fiókot.
A Folyamatautomatizálás területen válassza a Runbookok lehetőséget.
Válassza a Runbook létrehozása lehetőséget.
Nevezze el a runbookot, és válassza a PowerShellt runbooktípusként.
Válassza ki a létrehozott runbookot, majd kattintson a Szerkesztés gombra.
Adja meg a következő kódot (tesztelési célokra), és válassza a Közzététel gombot. Ez a művelet a kapott POST-kérelem eredményét adja vissza.
param
(
[Parameter (Mandatory = $false)]
[object] $WebhookData
)
#If runbook was called from Webhook, WebhookData will not be null.
if ($WebhookData) {
#rotate secret:
#generate new secret version in key vault
#update db/service with generated secret
#Write-Output "WebhookData <$WebhookData>"
Write-Output $WebhookData.RequestBody
}
else
{
# Error
write-Error "No input data found."
}
Webhook létrehozása
Hozzon létre egy webhookot az újonnan létrehozott runbook aktiválásához.
A közzétett runbook Erőforrások szakaszában válassza a Webhookok lehetőséget.
Válassza a Webhook hozzáadása lehetőséget.
Válassza az Új webhook létrehozása lehetőséget.
Nevezze el a webhookot, állítson be egy lejárati dátumot, és másolja ki az URL-címet.
Fontos
A létrehozás után nem tekintheti meg az URL-címet. Győződjön meg arról, hogy egy másolatot biztonságos helyre ment, ahol az útmutató hátralévő részében hozzáférhet.
Válassza a Paraméterek lehetőséget, és futtassa a beállításokat , majd kattintson az OK gombra. Ne adjon meg paramétereket. A Létrehozás gomb engedélyezve lesz.
Válassza az OK , majd a Létrehozás lehetőséget.
Event Grid-előfizetés létrehozása
Event Grid-előfizetés létrehozása a Azure Portal keresztül.
Nyissa meg a kulcstartót, és válassza az Események lapot.
Válassza az Esemény-előfizetés gombot.
Hozzon létre egy leíró nevet az előfizetéshez.
Válassza az Event Grid-séma lehetőséget.
A témakörerőforrásnak az állapotváltozásokat figyelni kívánt kulcstartónak kell lennie.
A Szűrés eseménytípusokra beállításnál hagyja bejelölve az összes beállítást (9).
A Végpont típusa mezőben válassza a Webhook lehetőséget.
Válassza a Végpont kiválasztása lehetőséget. Az új környezeti panelen illessze be a webhook URL-címét a Webhook létrehozása lépésből az Előfizetői végpont mezőbe.
A környezeti panelen válassza a Kijelölés megerősítése lehetőséget.
Válassza a Létrehozás lehetőséget.
Tesztelés és ellenőrzés
Ellenőrizze, hogy az Event Grid-előfizetés megfelelően van-e konfigurálva. Ez a teszt feltételezi, hogy feliratkozott a "Titkos új verzió létrehozva" értesítésre az Event Grid-előfizetés létrehozása területen, és rendelkezik a titkos kulcsok új verziójának kulcstartóban való létrehozásához szükséges engedélyekkel.
Lépjen a kulcstartóhoz az Azure Portalon.
Hozzon létre egy új titkos kódot. Tesztelési célokra állítsa a lejárati dátumot a következő napra.
A kulcstartó Események lapján válassza ki a létrehozott Event Grid-előfizetést.
A Metrikák területen ellenőrizze, hogy rögzítve lett-e egy esemény. Két esemény várható: SecretNewVersion és SecretNearExpiry. Ezek az események ellenőrzik, hogy az Event Grid sikeresen rögzítette-e a titkos kód állapotváltozását a kulcstartóban.
Lépjen az Automation-fiókhoz.
Válassza a Runbookok lapot, majd válassza ki a létrehozott runbookot.
Válassza a Webhookok lapot, és győződjön meg arról, hogy az "utolsó aktivált" időbélyeg az új titkos kód létrehozása után 60 másodpercen belül van. Ez az eredmény megerősíti, hogy az Event Grid közzétett egy POST-et a webhookon a kulcstartó állapotváltozásának eseményadataival, és hogy a webhook aktiválva lett.
Térjen vissza a runbookhoz, és válassza az Áttekintés lapot.
Tekintse meg a Legutóbbi feladatok listát. Látnia kell, hogy létrejött egy feladat, és hogy az állapot befejeződött. Ez megerősíti, hogy a webhook aktiválta a runbookot a szkript végrehajtásának megkezdéséhez.
Válassza ki a legutóbbi feladatot, és tekintse meg az Event Gridből a webhookra küldött POST kérést. Vizsgálja meg a JSON-t, és győződjön meg arról, hogy a kulcstartó és az eseménytípus paraméterei helyesek. Ha a JSON-objektum "eseménytípus" paramétere megegyezik a kulcstartóban (ebben a példában Microsoft.KeyVault.SecretNearExpiry) történt eseménysel, a teszt sikeres volt.
Hibaelhárítás
Nem hozhat létre esemény-előfizetést
Regisztrálja újra az Event Gridet és a kulcstartó-szolgáltatót az Azure-előfizetés erőforrás-szolgáltatóiban. Lásd: Azure-erőforrás-szolgáltatók és -típusok.
Következő lépések
Gratulálunk! Ha helyesen követte ezeket a lépéseket, készen áll arra, hogy programozott módon reagáljon a kulcstartóban tárolt titkos kulcsok állapotváltozására.
Ha lekérdezésalapú rendszert használ a titkos kulcsok állapotváltozásainak keresésére a kulcstartókban, most már használhatja ezt az értesítési funkciót. A runbookban lévő tesztszkriptet is lecserélheti kódra, hogy programozott módon megújítsa a titkos kódokat, amikor hamarosan lejárnak.
További információ:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: