Felügyelt HSM naplózása
Egy vagy több felügyelt HSM létrehozása után valószínűleg figyelnie kell, hogy a HSM-ekhez hogyan és mikor fér hozzá, és ki. Ezt a naplózás engedélyezésével teheti meg, amely az Ön által megadott Azure Storage-fiókban menti az adatokat. A rendszer automatikusan létrehoz egy insights-logs-auditevent nevű új tárolót a megadott tárfiókhoz. Ezt a tárfiókot használhatja több felügyelt HSM naplóinak gyűjtéséhez.
A naplózási adatokat a felügyelt HSM-művelet után legfeljebb 10 perccel érheti el. A legtöbb esetben azonban ez nem fog ennyi ideig tartani. A tárfiók naplófájljait Önnek kell kezelnie:
- Az Azure szabványos hozzáférés-vezérlési módszereivel korlátozhatja a naplókhoz való hozzáférést, így megvédheti azokat.
- Törölje azokat a naplókat, amelyeket nem kíván megőrizni a tárfiókban.
Ez az oktatóanyag segítséget nyújt a felügyelt HSM-naplózás használatának megkezdéséhez. Létrehoz egy tárfiókot, engedélyezi a naplózást, és értelmezi az összegyűjtött naplóadatokat.
Feljegyzés
Ez az oktatóanyag nem tartalmaz útmutatást a felügyelt HSM-k vagy kulcsok létrehozásához. Ez a cikk azure CLI-utasításokat tartalmaz a diagnosztikai naplózás frissítéséhez.
Előfeltételek
A cikk lépéseinek elvégzéséhez a következő elemeket kell tartalmaznia:
- Egy Microsoft Azure-előfizetés. Ha még nincs fiókja, regisztráljon egy ingyenes próbaverzióra.
- Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Felügyelt HSM az előfizetésben. Tekintse meg a rövid útmutatót: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM kiépítéséhez és aktiválásához.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Lehetőség | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.
A kód vagy parancs futtatásához válassza az Enter lehetőséget .
Csatlakozás az Azure-előfizetéshez
A kulcsnaplózás beállításának első lépése az, hogy az Azure CLI-t a naplózni kívánt felügyelt HSM-re irányítjuk.
az login
A cli-n keresztüli bejelentkezési lehetőségekről az Azure CLI-vel való bejelentkezéssel kapcsolatos további információkért tekintse meg a bejelentkezést
Előfordulhat, hogy meg kell adnia a felügyelt HSM létrehozásához használt előfizetést. A fiók előfizetéseinek megtekintéséhez írja be a következő parancsot:
A felügyelt HSM és tárfiók azonosítása
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
Naplózás engedélyezése
A felügyelt HSM naplózásának engedélyezéséhez használja az az monitor diagnosztikai beállítások létrehozása parancsot, valamint az új tárfiókhoz és a felügyelt HSM-hez létrehozott változókat. A -Enabled jelölőt is beállítjuk $true, és a kategóriát AuditEvent (a felügyelt HSM-naplózás egyetlen kategóriája) értékre állítjuk:
Ez a kimenet megerősíti, hogy a naplózás engedélyezve van a felügyelt HSM-hez, és adatokat ment a tárfiókba.
Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz úgy, hogy a régebbi naplók automatikusan törlődnek. Állítsa be például a megőrzési szabályzatot úgy, hogy a -RetentionEnabled jelölőt $true értékre állítja, és a -RetentionInDays paramétert 90-re állítja, hogy a rendszer automatikusan törölje a 90 napnál régebbi naplókat.
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Mi kerül naplózásra?
- Minden hitelesített REST API-kérés, beleértve a hozzáférési engedélyek, rendszerhibák, tűzfalblokkok vagy hibás kérések miatt meghiúsult kéréseket is.
- Felügyeltsík-műveletek a felügyelt HSM-erőforráson, beleértve a létrehozást, a törlést és az attribútumok( például címkék) frissítését.
- Biztonsági tartományhoz kapcsolódó műveletek, például inicializálás és letöltés, helyreállítás inicializálása, feltöltés
- Teljes HSM biztonsági mentési, visszaállítási és szelektív visszaállítási műveletek
- Szerepkörkezelési műveletek, például szerepkör-hozzárendelések létrehozása/megtekintése/törlése és egyéni szerepkör-definíciók létrehozása/megtekintése/törlése
- Kulcsokkal kapcsolatos műveletek, beleértve a következőket:
- A kulcsok létrehozása, módosítása vagy törlése.
- Kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, körbefuttatása és feloldása, kulcsok felsorolása.
- Kulcs biztonsági mentése, visszaállítása, törlése
- Kulcskiadás
- Érvénytelen elérési utak, amelyek 404-választ eredményeznek.
A naplók elérése
A felügyelt HSM-naplók a megadott tárfiók insights-logs-auditevent tárolójában vannak tárolva. A naplók megtekintéséhez blobokat kell letöltenie. Az Azure Storage szolgáltatással kapcsolatos információkért lásd a blobok létrehozását, letöltését és listázását az Azure CLI-vel.
Az egyes blobok szövegként vannak tárolva, JSON-ként formázva. Tekintsünk meg egy példanapló-bejegyzést. Az alábbi példa a naplóbejegyzést mutatja be, amikor a rendszer egy teljes biztonsági mentés létrehozására irányuló kérelmet küld a felügyelt HSM-nek.
[
{
"TenantId": "{tenant-id}",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]