Mengonfigurasi pemberitahuan Azure Key Vault

  • Artikel

Setelah mulai menggunakan Azure Key Vault untuk menyimpan rahasia produksi, Anda harus memantau kesehatan brankas kunci guna memastikan layanan Anda beroperasi sebagaimana mestinya.

Ketika Anda mulai menskalakan layanan Anda, jumlah permintaan yang dikirim ke brankas kunci Anda akan naik. Peningkatan ini berpotensi meningkatkan latensi permintaan. Dalam kasus ekstrim, ini dapat menyebabkan permintaan Anda terbatas dan mempengaruhi performa layanan Anda. Anda juga perlu mengetahui apakah brankas kunci Anda mengirimkan kode galat dalam jumlah yang tidak biasa, sehingga Anda dapat segera menangani masalah apa pun dengan kebijakan akses atau konfigurasi firewall.

Artikel ini akan menunjukkan cara mengonfigurasi pemberitahuan pada ambang tertentu sehingga Anda dapat memberi tahu tim untuk segera mengambil tindakan jika brankas kunci Anda dalam kondisi tidak sehat. Anda dapat mengonfigurasi pemberitahuan yang mengirim email, (sebaiknya ke daftar distribusi tim), mengaktifkan pemberitahuan Azure Event Grid, atau menelepon atau mengirim SMS ke nomor telepon.

Anda dapat memilih di antara jenis pemberitahuan ini:

  • Pemberitahuan statik berdasarkan nilai tetap
  • Pemberitahuan dinamis yang akan memberi tahu Anda apakah metrik yang dipantau melebihi batas rata-rata brankas kunci Anda beberapa kali dalam rentang waktu yang ditentukan

Penting

Diperlukan waktu hingga 10 menit bagi pemberitahuan yang baru dikonfigurasi untuk mulai mengirim pemberitahuan.

Artikel ini berfokus pada pemberitahuan untuk Key Vault. Untuk informasi tentang wawasan Key Vault, yang menggabungkan log dan metrik untuk memberikan solusi pemantauan global, lihat Memantau brankas kunci Anda dengan wawasan Key Vault.

Konfigurasikan grup tindakan

Grup tindakan adalah daftar pemberitahuan dan properti yang dapat dikonfigurasi. Langkah pertama dalam mengonfigurasi pemberitahuan adalah membuat grup tindakan dan memilih jenis pemberitahuan:

  1. Masuk ke portal Azure.

  2. Cari Pemberitahuan di kotak pencarian.

  3. Pilih Kelola tindakan.

    Cuplikan layar yang menyoroti tombol Kelola Tindakan.

  4. Pilih + Tambahkan grup tindakan.

    Cuplikan layar yang menyoroti tombol untuk menambahkan grup tindakan.

  5. Pilih nilai Jenis Tindakan untuk grup tindakan Anda. Dalam contoh ini, kami akan membuat email dan pemberitahuan SMS. Pilih Email/SMS/Push/Pesan Suara.

    Cuplikan layar yang menyoroti pilihan untuk menambahkan grup tindakan.

  6. Dalam dialog, masukkan detail email dan SMS, lalu pilih OK.

    Cuplikan layar yang menampilkan pilihan untuk menambahkan email dan peringatan pesan SMS.

Mengonfigurasi ambang pemberitahuan

Selanjutnya, buat aturan dan konfigurasikan ambang yang akan memicu pemberitahuan:

  1. Pilih sumber daya brankas kunci Anda di portal Azure dan pilih Pemberitahuan di bagian Pemantauan.

    Cuplikan layar yang menampilkan opsi menu Peringatan di bagian Pemantauan.

  2. Pilih pengaturan peringatan baru .

    Cuplikan layar yang menampilkan tombol untuk menambahkan aturan peringatan baru.

  3. Pilih cakupan aturan pemberitahuan Anda. Anda dapat memilih satu atau beberapa brankas.

    Penting

    Saat Anda memilih beberapa brankas untuk cakupan pemberitahuan Anda, semua brankas yang dipilih harus berada di wilayah yang sama. Anda harus mengonfigurasi aturan pemberitahuan terpisah untuk brankas di wilayah yang berbeda.

    Cuplikan layar yang menunjukkan cara memilih vault.

  4. Pilih ambang batas yang menentukan logika untuk pemberitahuan Anda, lalu pilih Tambahkan. Tim Key Vault merekomendasikan untuk mengonfigurasi ambang batas berikut untuk sebagian besar aplikasi, tetapi Anda dapat menyesuaikannya berdasarkan kebutuhan aplikasi Anda:

    • Ketersediaan Key Vault turun di bawah 100% (ambang statik)

    Penting

    Pemberitahuan ini saat ini salah menyertakan operasi jangka panjang dan melaporkannya karena layanan tidak tersedia. Anda dapat memantau log Key Vault untuk melihat apakah operasi gagal karena layanan tidak tersedia sebagai gantinya

    • Latensi Key Vault lebih besar dari 1000 md (ambang statik)

    Catatan

    Niat dari ambang batas 1000 ms adalah untuk memberi tahu bahwa layanan Key Vault di wilayah ini memiliki beban kerja yang lebih tinggi dari rata-rata. Operasi SLA untuk Key Vault kami beberapa kali lebih tinggi, lihat Perjanjian Tingkat Layanan untuk Layanan Online untuk SLA saat ini. Untuk memperingatkan saat operasi Key Vault berada di luar SLA, gunakan ambang batas dari dokumen SLA.

    • Saturasi brankas keseluruhan lebih besar dari 75% (ambang statik)
    • Saturasi brankas keseluruhan melebihi rata-rata (ambang dinamis)
    • Total kode galat lebih tinggi dari rata-rata (ambang dinamis)

    Cuplikan layar yang menunjukkan tempat Anda memilih kondisi untuk peringatan.

Contoh : Mengonfigurasi ambang pemberitahuan statik untuk latensi

  1. Pilih Latensi API Layanan Keseluruhan sebagai nama sinyal.

    Cuplikan layar yang menunjukkan pemilihan nama sinyal.

  2. Gunakan parameter konfigurasi berikut:

    • Atur Ambang ke Statik.
    • Atur Operator ke Lebih besar dari.
    • Atur Jenis agregasi ke Rata-rata.
    • Atur Nilai ambang ke 1000.
    • Atur Granulitas agregasi (Periode) ke 5 menit.
    • Atur Frekuensi evaluasi ke Setiap 1 Menit.

    Cuplikan layar yang menunjukkan logika yang dikonfigurasi untuk ambang peringatan statik.

  3. Pilih Selesai.

Contoh: Mengonfigurasi ambang pemberitahuan dinamis untuk saturasi brankas

Saat menggunakan pemberitahuan dinamis, Anda akan dapat melihat data riwayat brankas kunci yang Anda pilih. Area biru menunjukkan penggunaan rata-rata brankas kunci Anda. Area merah menunjukkan lonjakan yang akan memicu pemberitahuan jika kriteria lain dalam konfigurasi pemberitahuan terpenuhi. Titik merah menunjukkan contoh pelanggaran saat kriteria pemberitahuan terpenuhi selama periode waktu agregat.

Cuplikan layar yang menunjukkan grafik saturasi vault secara keseluruhan.

Anda dapat mengatur pemberitahuan untuk diaktifkan setelah terdapat sejumlah pelanggaran tertentu dalam waktu yang ditentukan. Jika Anda tidak ingin menyertakan data sebelumnya, ada opsi untuk mengecualikannya data sebelumnya di pengaturan tingkat lanjut.

  1. Gunakan parameter konfigurasi berikut:

    • Atur Nama Dimensi ke Jenis Transaksi dan Nilai Dimensi ke vaultoperasi.
    • Atur Ambang ke Dinamis.
    • Atur Operator ke Lebih besar dari.
    • Atur Jenis agregasi ke Rata-rata.
    • Atur Sensitivitas Ambang ke Sedang.
    • Atur Granulitas agregasi (Periode) ke 5 menit.
    • Atur Frekuensi evaluasi ke Setiap 5 Menit.
    • Konfigurasikan Pengaturan lanjutan (opsional).

    Cuplikan layar yang menunjukkan logika yang dikonfigurasi untuk ambang peringatan dinamis.

  2. Pilih Selesai.

  3. Pilih Tambahkan untuk menambahkan grup tindakan yang telah Anda konfigurasikan.

    Cuplikan layar yang menampilkan tombol untuk menambahkan grup tindakan.

  4. Dalam detail pemberitahuan, aktifkan pemberitahuan dan tetapkan tingkat keparahan.

    Cuplikan layar yang menunjukkan tempat untuk mengaktifkan peringatan dan menetapkan tingkat keparahan.

  5. Buat pemberitahuan.

Contoh pemberitahuan email

Jika mengikuti semua langkah di atas, Anda akan menerima pemberitahuan email saat brankas kunci memenuhi kriteria pemberitahuan yang Anda konfigurasi. Peringatan email berikut adalah contohnya.

Cuplikan layar yang menyoroti informasi yang diperlukan untuk mengonfigurasi peringatan email.

Contoh: Pemberitahuan kueri log untuk sertifikat mendekati kedaluwarsa

Anda dapat mengatur pemberitahuan untuk memberi tahu Anda tentang sertifikat yang akan kedaluwarsa.

Catatan

Peristiwa mendekati kedaluwarsa untuk sertifikat dicatat 30 hari sebelum kedaluwarsa.

  1. Buka Log dan tempelkan kueri di bawah ini di jendela kueri

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Pilih Aturan pemberitahuan baru

    Cuplikan layar yang memperlihatkan jendela kueri dengan aturan pemberitahuan baru yang dipilih.

  3. Di tab Kondisi gunakan konfigurasi berikut:

    • Dalam pengukuran atur granularitas agregasi ke 1 hari
    • Di Pisahkan menurut dimensi atur kolom ID Sumber Daya ke ResourceId.
    • Atur CertName dan DayTillExpire sebagai dimensi.
    • Dalam Logika pemberitahuan atur nilai Ambang ke 0 dan Frekuensi evaluasi menjadi 1 hari.

    Cuplikan layar yang memperlihatkan konfigurasi kondisi pemberitahuan.

  4. Di tab Tindakan konfigurasikan pemberitahuan untuk mengirim email

    1. Pilih buat grup tindakan

      Cuplikan layar yang memperlihatkan cara membuat grup tindakan.

    2. Mengonfigurasi Buat grup tindakan

      Cuplikan layar yang memperlihatkan cara mengonfigurasi grup tindakan.

    3. Mengonfigurasi Pemberitahuan untuk mengirim email

      Cuplikan layar yang memperlihatkan cara mengonfigurasi pemberitahuan.

    4. Mengonfigurasi Detail untuk memicu pemberitahuan Peringatan

      Cuplikan layar yang memperlihatkan cara mengonfigurasi detail pemberitahuan.

    5. Pilih Tinjau + buat

Langkah berikutnya

Gunakan alat yang telah Anda siapkan di artikel ini untuk memantau secara aktif kesehatan brankas kunci Anda: