Mengonfigurasi pemberitahuan Azure Key Vault
Setelah mulai menggunakan Azure Key Vault untuk menyimpan rahasia produksi, Anda harus memantau kesehatan brankas kunci guna memastikan layanan Anda beroperasi sebagaimana mestinya.
Ketika Anda mulai menskalakan layanan Anda, jumlah permintaan yang dikirim ke brankas kunci Anda akan naik. Peningkatan ini berpotensi meningkatkan latensi permintaan. Dalam kasus ekstrim, ini dapat menyebabkan permintaan Anda terbatas dan mempengaruhi performa layanan Anda. Anda juga perlu mengetahui apakah brankas kunci Anda mengirimkan kode galat dalam jumlah yang tidak biasa, sehingga Anda dapat segera menangani masalah apa pun dengan kebijakan akses atau konfigurasi firewall.
Artikel ini akan menunjukkan cara mengonfigurasi pemberitahuan pada ambang tertentu sehingga Anda dapat memberi tahu tim untuk segera mengambil tindakan jika brankas kunci Anda dalam kondisi tidak sehat. Anda dapat mengonfigurasi pemberitahuan yang mengirim email, (sebaiknya ke daftar distribusi tim), mengaktifkan pemberitahuan Azure Event Grid, atau menelepon atau mengirim SMS ke nomor telepon.
Anda dapat memilih di antara jenis pemberitahuan ini:
- Pemberitahuan statik berdasarkan nilai tetap
- Pemberitahuan dinamis yang akan memberi tahu Anda apakah metrik yang dipantau melebihi batas rata-rata brankas kunci Anda beberapa kali dalam rentang waktu yang ditentukan
Penting
Diperlukan waktu hingga 10 menit bagi pemberitahuan yang baru dikonfigurasi untuk mulai mengirim pemberitahuan.
Artikel ini berfokus pada pemberitahuan untuk Key Vault. Untuk informasi tentang wawasan Key Vault, yang menggabungkan log dan metrik untuk memberikan solusi pemantauan global, lihat Memantau brankas kunci Anda dengan wawasan Key Vault.
Konfigurasikan grup tindakan
Grup tindakan adalah daftar pemberitahuan dan properti yang dapat dikonfigurasi. Langkah pertama dalam mengonfigurasi pemberitahuan adalah membuat grup tindakan dan memilih jenis pemberitahuan:
Masuk ke portal Azure.
Cari Pemberitahuan di kotak pencarian.
Pilih Kelola tindakan.
Pilih + Tambahkan grup tindakan.
Pilih nilai Jenis Tindakan untuk grup tindakan Anda. Dalam contoh ini, kami akan membuat email dan pemberitahuan SMS. Pilih Email/SMS/Push/Pesan Suara.
Dalam dialog, masukkan detail email dan SMS, lalu pilih OK.
Mengonfigurasi ambang pemberitahuan
Selanjutnya, buat aturan dan konfigurasikan ambang yang akan memicu pemberitahuan:
Pilih sumber daya brankas kunci Anda di portal Azure dan pilih Pemberitahuan di bagian Pemantauan.
Pilih pengaturan peringatan baru .
Pilih cakupan aturan pemberitahuan Anda. Anda dapat memilih satu atau beberapa brankas.
Penting
Saat Anda memilih beberapa brankas untuk cakupan pemberitahuan Anda, semua brankas yang dipilih harus berada di wilayah yang sama. Anda harus mengonfigurasi aturan pemberitahuan terpisah untuk brankas di wilayah yang berbeda.
Pilih ambang batas yang menentukan logika untuk pemberitahuan Anda, lalu pilih Tambahkan. Tim Key Vault merekomendasikan untuk mengonfigurasi ambang batas berikut untuk sebagian besar aplikasi, tetapi Anda dapat menyesuaikannya berdasarkan kebutuhan aplikasi Anda:
- Ketersediaan Key Vault turun di bawah 100% (ambang statik)
Penting
Pemberitahuan ini saat ini salah menyertakan operasi jangka panjang dan melaporkannya karena layanan tidak tersedia. Anda dapat memantau log Key Vault untuk melihat apakah operasi gagal karena layanan tidak tersedia sebagai gantinya
- Latensi Key Vault lebih besar dari 1000 md (ambang statik)
Catatan
Niat dari ambang batas 1000 ms adalah untuk memberi tahu bahwa layanan Key Vault di wilayah ini memiliki beban kerja yang lebih tinggi dari rata-rata. Operasi SLA untuk Key Vault kami beberapa kali lebih tinggi, lihat Perjanjian Tingkat Layanan untuk Layanan Online untuk SLA saat ini. Untuk memperingatkan saat operasi Key Vault berada di luar SLA, gunakan ambang batas dari dokumen SLA.
- Saturasi brankas keseluruhan lebih besar dari 75% (ambang statik)
- Saturasi brankas keseluruhan melebihi rata-rata (ambang dinamis)
- Total kode galat lebih tinggi dari rata-rata (ambang dinamis)
Contoh : Mengonfigurasi ambang pemberitahuan statik untuk latensi
Pilih Latensi API Layanan Keseluruhan sebagai nama sinyal.
Gunakan parameter konfigurasi berikut:
- Atur Ambang ke Statik.
- Atur Operator ke Lebih besar dari.
- Atur Jenis agregasi ke Rata-rata.
- Atur Nilai ambang ke 1000.
- Atur Granulitas agregasi (Periode) ke 5 menit.
- Atur Frekuensi evaluasi ke Setiap 1 Menit.
Pilih Selesai.
Contoh: Mengonfigurasi ambang pemberitahuan dinamis untuk saturasi brankas
Saat menggunakan pemberitahuan dinamis, Anda akan dapat melihat data riwayat brankas kunci yang Anda pilih. Area biru menunjukkan penggunaan rata-rata brankas kunci Anda. Area merah menunjukkan lonjakan yang akan memicu pemberitahuan jika kriteria lain dalam konfigurasi pemberitahuan terpenuhi. Titik merah menunjukkan contoh pelanggaran saat kriteria pemberitahuan terpenuhi selama periode waktu agregat.
Anda dapat mengatur pemberitahuan untuk diaktifkan setelah terdapat sejumlah pelanggaran tertentu dalam waktu yang ditentukan. Jika Anda tidak ingin menyertakan data sebelumnya, ada opsi untuk mengecualikannya data sebelumnya di pengaturan tingkat lanjut.
Gunakan parameter konfigurasi berikut:
- Atur Nama Dimensi ke Jenis Transaksi dan Nilai Dimensi ke vaultoperasi.
- Atur Ambang ke Dinamis.
- Atur Operator ke Lebih besar dari.
- Atur Jenis agregasi ke Rata-rata.
- Atur Sensitivitas Ambang ke Sedang.
- Atur Granulitas agregasi (Periode) ke 5 menit.
- Atur Frekuensi evaluasi ke Setiap 5 Menit.
- Konfigurasikan Pengaturan lanjutan (opsional).
Pilih Selesai.
Pilih Tambahkan untuk menambahkan grup tindakan yang telah Anda konfigurasikan.
Dalam detail pemberitahuan, aktifkan pemberitahuan dan tetapkan tingkat keparahan.
Buat pemberitahuan.
Contoh pemberitahuan email
Jika mengikuti semua langkah di atas, Anda akan menerima pemberitahuan email saat brankas kunci memenuhi kriteria pemberitahuan yang Anda konfigurasi. Peringatan email berikut adalah contohnya.
Contoh: Pemberitahuan kueri log untuk sertifikat mendekati kedaluwarsa
Anda dapat mengatur pemberitahuan untuk memberi tahu Anda tentang sertifikat yang akan kedaluwarsa.
Catatan
Peristiwa mendekati kedaluwarsa untuk sertifikat dicatat 30 hari sebelum kedaluwarsa.
Buka Log dan tempelkan kueri di bawah ini di jendela kueri
AzureDiagnostics | where OperationName =~ 'CertificateNearExpiryEventGridNotification' | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d) | extend DaysTillExpire = datetime_diff("Day", CertExpire, now()) | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
Pilih Aturan pemberitahuan baru
Di tab Kondisi gunakan konfigurasi berikut:
- Dalam pengukuran atur granularitas agregasi ke 1 hari
- Di Pisahkan menurut dimensi atur kolom ID Sumber Daya ke ResourceId.
- Atur CertName dan DayTillExpire sebagai dimensi.
- Dalam Logika pemberitahuan atur nilai Ambang ke 0 dan Frekuensi evaluasi menjadi 1 hari.
Di tab Tindakan konfigurasikan pemberitahuan untuk mengirim email
- Pilih buat grup tindakan
- Mengonfigurasi Buat grup tindakan
- Mengonfigurasi Pemberitahuan untuk mengirim email
- Mengonfigurasi Detail untuk memicu pemberitahuan Peringatan
- Pilih Tinjau + buat
- Pilih buat grup tindakan
Langkah berikutnya
Gunakan alat yang telah Anda siapkan di artikel ini untuk memantau secara aktif kesehatan brankas kunci Anda: