Megosztás a következőn keresztül:


Felügyelt HSM naplózása

Egy vagy több felügyelt HSM létrehozása után valószínűleg figyelnie kell, hogy a HSM-ekhez hogyan és mikor fér hozzá, és ki. Ezt a naplózás engedélyezésével teheti meg, amely az Ön által megadott Azure Storage-fiókban menti az adatokat. A rendszer automatikusan létrehoz egy insights-logs-auditevent nevű új tárolót a megadott tárfiókhoz. Ezt a tárfiókot használhatja több felügyelt HSM naplóinak gyűjtéséhez.

A naplózási adatokat a felügyelt HSM-művelet után legfeljebb 10 perccel érheti el. A legtöbb esetben azonban ez nem fog ennyi ideig tartani. A tárfiók naplófájljait Önnek kell kezelnie:

  • Az Azure szabványos hozzáférés-vezérlési módszereivel korlátozhatja a naplókhoz való hozzáférést, így megvédheti azokat.
  • Törölje azokat a naplókat, amelyeket nem kíván megőrizni a tárfiókban.

Ez az oktatóanyag segítséget nyújt a felügyelt HSM-naplózás használatának megkezdéséhez. Létrehoz egy tárfiókot, engedélyezi a naplózást, és értelmezi az összegyűjtött naplóadatokat.

Feljegyzés

Ez az oktatóanyag nem tartalmaz útmutatást a felügyelt HSM-k vagy kulcsok létrehozásához. Ez a cikk azure CLI-utasításokat tartalmaz a diagnosztikai naplózás frissítéséhez.

Előfeltételek

A cikk lépéseinek elvégzéséhez a következő elemeket kell tartalmaznia:

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. Képernyőkép az Azure Cloud Shell kipróbálásának példájáról.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. Gomb az Azure Cloud Shell elindításához.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. Képernyőkép az Azure Portal Cloud Shell gombjáról

Az Azure Cloud Shell használata:

  1. Indítsa el a Cloud Shellt.

  2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

  3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

  4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Csatlakozás az Azure-előfizetéshez

A kulcsnaplózás beállításának első lépése az, hogy az Azure CLI-t a naplózni kívánt felügyelt HSM-re irányítjuk.

az login

A cli-n keresztüli bejelentkezési lehetőségekről az Azure CLI-vel való bejelentkezéssel kapcsolatos további információkért tekintse meg a bejelentkezést

Előfordulhat, hogy meg kell adnia a felügyelt HSM létrehozásához használt előfizetést. A fiók előfizetéseinek megtekintéséhez írja be a következő parancsot:

A felügyelt HSM és tárfiók azonosítása

hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)

Naplózás engedélyezése

A felügyelt HSM naplózásának engedélyezéséhez használja az az monitor diagnosztikai beállítások létrehozása parancsot, valamint az új tárfiókhoz és a felügyelt HSM-hez létrehozott változókat. A -Enabled jelölőt is beállítjuk $true, és a kategóriát AuditEvent (a felügyelt HSM-naplózás egyetlen kategóriája) értékre állítjuk:

Ez a kimenet megerősíti, hogy a naplózás engedélyezve van a felügyelt HSM-hez, és adatokat ment a tárfiókba.

Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz úgy, hogy a régebbi naplók automatikusan törlődnek. Állítsa be például a megőrzési szabályzatot úgy, hogy a -RetentionEnabled jelölőt $true értékre állítja, és a -RetentionInDays paramétert 90-re állítja, hogy a rendszer automatikusan törölje a 90 napnál régebbi naplókat.

az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource

Mi kerül naplózásra?

  • Minden hitelesített REST API-kérés, beleértve a hozzáférési engedélyek, rendszerhibák, tűzfalblokkok vagy hibás kérések miatt meghiúsult kéréseket is.
  • Felügyeltsík-műveletek a felügyelt HSM-erőforráson, beleértve a létrehozást, a törlést és az attribútumok( például címkék) frissítését.
  • Biztonsági tartományhoz kapcsolódó műveletek, például inicializálás és letöltés, helyreállítás inicializálása, feltöltés
  • Teljes HSM biztonsági mentési, visszaállítási és szelektív visszaállítási műveletek
  • Szerepkörkezelési műveletek, például szerepkör-hozzárendelések létrehozása/megtekintése/törlése és egyéni szerepkör-definíciók létrehozása/megtekintése/törlése
  • Kulcsokkal kapcsolatos műveletek, beleértve a következőket:
    • A kulcsok létrehozása, módosítása vagy törlése.
    • Kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, körbefuttatása és feloldása, kulcsok felsorolása.
    • Kulcs biztonsági mentése, visszaállítása, törlése
    • Kulcskiadás
  • Érvénytelen elérési utak, amelyek 404-választ eredményeznek.

A naplók elérése

A felügyelt HSM-naplók a megadott tárfiók insights-logs-auditevent tárolójában vannak tárolva. A naplók megtekintéséhez blobokat kell letöltenie. Az Azure Storage szolgáltatással kapcsolatos információkért lásd a blobok létrehozását, letöltését és listázását az Azure CLI-vel.

Az egyes blobok szövegként vannak tárolva, JSON-ként formázva. Tekintsünk meg egy példanapló-bejegyzést. Az alábbi példa a naplóbejegyzést mutatja be, amikor a rendszer egy teljes biztonsági mentés létrehozására irányuló kérelmet küld a felügyelt HSM-nek.

[
  {
    "TenantId": "{tenant-id}",
    "time": "2020-08-31T19:52:39.763Z",
    "resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
    "operationName": "BackupCreate",
    "operationVersion": "7.0",
    "category": "AuditEvent",
    "resultType": "Success",
    "properties": {
        "PoolType": "M-HSM",
        "sku_Family": "B",
        "sku_Name": "Standard_B1"
    },
    "durationMs": 488,
    "callerIpAddress": "X.X.X.X",
    "identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
    "clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
    "correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
    "subnetId": "(unknown)",
    "httpStatusCode": 202,
    "PoolName": "mhsmdemo",
    "requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
    "resourceGroup": "ContosoResourceGroup",
    "resourceProvider": "MICROSOFT.KEYVAULT",
    "resource": "ContosoMHSM",
    "resourceType": "managedHSMs"
  }
]

Következő lépések