Configurare gli avvisi di Azure Key Vault
Dopo aver iniziato a usare Azure Key Vault per archiviare i segreti di produzione, è importante monitorare l'integrità dell'insieme di credenziali delle chiavi per assicurarsi che il servizio funzioni come previsto.
Quando si inizia a ridimensionare il servizio, il numero di richieste inviate all'insieme di credenziali delle chiavi aumenta. Questo aumento può aumentare la latenza delle richieste. In casi estremi, può causare la limitazione delle richieste e influire sulle prestazioni del servizio. È anche necessario sapere se l'insieme di credenziali delle chiavi invia un numero insolito di codici di errore, in modo da poter gestire rapidamente eventuali problemi con un criterio di accesso o una configurazione del firewall.
Questo articolo illustra come configurare gli avvisi a soglie specificate in modo da poter avvisare il team affinché intervenga immediatamente se l'insieme di credenziali delle chiavi si trova in uno stato non integro. È possibile configurare avvisi che inviano un messaggio di posta elettronica (preferibilmente a una lista di distribuzione del team), attivano una notifica di Griglia di eventi di Azure oppure chiamano o inviano un SMS a un numero di telefono.
È possibile scegliere tra questi tipi di avviso:
- Avviso statico basato su un valore fisso
- Avviso dinamico che invierà una notifica se una metrica monitorata supera il limite medio dell'insieme di credenziali delle chiavi per un determinato numero di volte entro un intervallo di tempo definito
Importante
Possono essere necessari fino a 10 minuti prima che gli avvisi appena configurati inizino a inviare notifiche.
Questo articolo è incentrato sugli avvisi per Key Vault. Per informazioni dettagliate su Key Vault, che combina log e metriche per fornire una soluzione di monitoraggio globale, vedere Monitoraggio dell'insieme di credenziali delle chiavi con informazioni dettagliate di Key Vault.
Configurare un gruppo di azioni
Un gruppo di azioni è un elenco configurabile di notifiche e proprietà. Il primo passaggio per la configurazione degli avvisi consiste nel creare un gruppo di azioni e scegliere un tipo di avviso:
Accedere al portale di Azure.
Cercare Avvisi nella casella di ricerca.
Selezionare Gestisci azioni.
Selezionare + Aggiungi gruppo di azioni.
Scegliere il valore Tipo di azione per il gruppo di azioni. In questo esempio verrà creato un avviso tramite posta elettronica e SMS. Selezionare Posta elettronica/SMS/Push/Voce.
Nella finestra di dialogo immettere i dettagli di posta elettronica e SMS e quindi selezionare OK.
Configurare le soglie di avviso
Creare quindi una regola e configurare le soglie che attiveranno un avviso:
Selezionare la risorsa dell'insieme di credenziali delle chiavi nel portale di Azure e quindi selezionare Avvisi in Monitoraggio.
Selezionare Nuova regola di avviso.
Selezionare l'ambito della regola di avviso. È possibile selezionare un singolo insieme di credenziali o più insiemi di credenziali.
Importante
Quando si selezionano più insiemi di credenziali per l'ambito degli avvisi, tutti gli insiemi di credenziali selezionati devono trovarsi nella stessa area. È necessario configurare regole di avviso separate per gli insiemi di credenziali in aree diverse.
Selezionare le soglie che definiscono la logica per gli avvisi e quindi selezionare Aggiungi. Il team di Key Vault consiglia di configurare le soglie seguenti per la maggior parte delle applicazioni, ma è possibile modificarle in base alle esigenze dell'applicazione:
- La disponibilità di Key Vault scende al di sotto del 100% (soglia statica)
Importante
Questo avviso attualmente include in modo non corretto le operazioni a esecuzione prolungata e le segnala come il servizio non è disponibile. È possibile monitorare i log di Key Vault per verificare se le operazioni hanno esito negativo a causa dell'indisponibilità del servizio
- La latenza di Key Vault è maggiore di 1000 ms (soglia statica)
Nota
L'intenzione della soglia di 1000 ms consiste nel notificare che il servizio Key Vault in questa area ha un carico di lavoro superiore alla media. Il contratto di servizio per le operazioni di Key Vault è più volte superiore, vedere il Contratto di servizio per i servizi online per il contratto di servizio corrente. Per avvisare quando le operazioni di Key Vault non rientrano nel contratto di servizio, usare le soglie dei documenti del contratto di servizio.
- La saturazione complessiva dell'insieme di credenziali è maggiore del 75% (soglia statica)
- La saturazione complessiva dell'insieme di credenziali supera la media (soglia dinamica)
- I codici di errore totali sono superiori alla media (soglia dinamica)
Esempio: Configurare una soglia di avviso statica per la latenza
Selezionare Latenza complessiva dell'API del servizio come nome del segnale.
Usare i parametri di configurazione seguenti:
- Impostare Soglia su Statica.
- Impostare Operatore su Maggiore di.
- Impostare Tipo di aggregazione su Media.
- Impostare Valore soglia su 1000.
- Impostare Granularità aggregazione (periodo) su 5 minuti.
- Impostare Frequenza di valutazione su Ogni minuto.
Selezionare Fatto.
Esempio: Configurare una soglia di avviso dinamica per la saturazione dell'insieme di credenziali
Quando si usa un avviso dinamico, è possibile visualizzare i dati cronologici dell'insieme di credenziali delle chiavi selezionato. L'area blu rappresenta l'utilizzo medio dell'insieme di credenziali delle chiavi. L'area rossa mostra i picchi che avrebbero attivato un avviso se fossero stati soddisfatti altri criteri nella configurazione dell'avviso. I punti rossi mostrano i casi di violazione in cui i criteri per l'avviso sono stati soddisfatti durante l'intervallo di tempo aggregato.
È possibile impostare un avviso da attivare dopo un determinato numero di violazioni entro un determinato periodo di tempo. Se non si vogliono includere dati passati, è possibile escluderli nelle impostazioni avanzate.
Usare i parametri di configurazione seguenti:
- Impostare Nome dimensione su Tipo di transazione e Valori delle dimensioni su vaultoperation.
- Impostare Soglia su Dinamica.
- Impostare Operatore su Maggiore di.
- Impostare Tipo di aggregazione su Media.
- Impostare Sensibilità soglia su Media.
- Impostare Granularità aggregazione (periodo) su 5 minuti.
- Impostare Frequenza di valutazione su Ogni 5 minuti.
- Configurare le Impostazioni avanzate (facoltativo).
Selezionare Fatto.
Selezionare Aggiungi per aggiungere il gruppo di azioni configurato.
Nei dettagli dell'avviso abilitare l'avviso e assegnare una gravità.
Creare l'avviso.
Esempio di avviso di posta elettronica
Se sono stati seguiti tutti i passaggi precedenti, si riceveranno avvisi di posta elettronica quando l'insieme di credenziali delle chiavi soddisfa i criteri di avviso configurati. L'avviso di posta elettronica seguente è un esempio.
Esempio: Avviso di query di log per i certificati prossimi alla scadenza
È possibile impostare un avviso per notificare i certificati che stanno per scadere.
Nota
Gli eventi di scadenza prossimi per i certificati vengono registrati 30 giorni prima della scadenza.
Passare a Log e incollare la query seguente nella finestra di query
AzureDiagnostics | where OperationName =~ 'CertificateNearExpiryEventGridNotification' | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d) | extend DaysTillExpire = datetime_diff("Day", CertExpire, now()) | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
Selezionare Nuova regola di avviso
Nella scheda Condizione usare la configurazione seguente:
- In Misurazione impostare granularità aggregazione su 1 giorno
- In Divisione per dimensioni impostare La colonna ID risorsa su ResourceId.
- Impostare CertName e DayTillExpire come dimensioni.
- In Logica di avviso impostare Valore soglia su 0 e Frequenza di valutazione su 1 giorno.
Nella scheda Azioni configurare l'avviso per l'invio di un messaggio di posta elettronica
- Selezionare Crea gruppo di azioni
- Configurare il gruppo di azioni Crea
- Configurare le notifiche per l'invio di un messaggio di posta elettronica
- Configurare i dettagli per attivare l'avviso di avviso
- Selezionare Rivedi e crea
- Selezionare Crea gruppo di azioni
Passaggi successivi
Usare gli strumenti configurati in questo articolo per monitorare attivamente l'integrità dell'insieme di credenziali delle chiavi: