Configurare gli avvisi di Azure Key Vault

  • Articolo

Dopo aver iniziato a usare Azure Key Vault per archiviare i segreti di produzione, è importante monitorare l'integrità dell'insieme di credenziali delle chiavi per assicurarsi che il servizio funzioni come previsto.

Quando si inizia a ridimensionare il servizio, il numero di richieste inviate all'insieme di credenziali delle chiavi aumenta. Questo aumento può aumentare la latenza delle richieste. In casi estremi, può causare la limitazione delle richieste e influire sulle prestazioni del servizio. È anche necessario sapere se l'insieme di credenziali delle chiavi invia un numero insolito di codici di errore, in modo da poter gestire rapidamente eventuali problemi con un criterio di accesso o una configurazione del firewall.

Questo articolo illustra come configurare gli avvisi a soglie specificate in modo da poter avvisare il team affinché intervenga immediatamente se l'insieme di credenziali delle chiavi si trova in uno stato non integro. È possibile configurare avvisi che inviano un messaggio di posta elettronica (preferibilmente a una lista di distribuzione del team), attivano una notifica di Griglia di eventi di Azure oppure chiamano o inviano un SMS a un numero di telefono.

È possibile scegliere tra questi tipi di avviso:

  • Avviso statico basato su un valore fisso
  • Avviso dinamico che invierà una notifica se una metrica monitorata supera il limite medio dell'insieme di credenziali delle chiavi per un determinato numero di volte entro un intervallo di tempo definito

Importante

Possono essere necessari fino a 10 minuti prima che gli avvisi appena configurati inizino a inviare notifiche.

Questo articolo è incentrato sugli avvisi per Key Vault. Per informazioni dettagliate su Key Vault, che combina log e metriche per fornire una soluzione di monitoraggio globale, vedere Monitoraggio dell'insieme di credenziali delle chiavi con informazioni dettagliate di Key Vault.

Configurare un gruppo di azioni

Un gruppo di azioni è un elenco configurabile di notifiche e proprietà. Il primo passaggio per la configurazione degli avvisi consiste nel creare un gruppo di azioni e scegliere un tipo di avviso:

  1. Accedere al portale di Azure.

  2. Cercare Avvisi nella casella di ricerca.

  3. Selezionare Gestisci azioni.

    Screenshot che evidenzia il pulsante Gestisci azioni.

  4. Selezionare + Aggiungi gruppo di azioni.

    Screenshot che evidenzia il pulsante per l'aggiunta di un gruppo di azioni.

  5. Scegliere il valore Tipo di azione per il gruppo di azioni. In questo esempio verrà creato un avviso tramite posta elettronica e SMS. Selezionare Posta elettronica/SMS/Push/Voce.

    Screenshot che evidenzia le selezioni per l'aggiunta di un gruppo di azioni.

  6. Nella finestra di dialogo immettere i dettagli di posta elettronica e SMS e quindi selezionare OK.

    Screenshot che mostra le selezioni per l'aggiunta di un messaggio di posta elettronica e un avviso messaggio S M S.

Configurare le soglie di avviso

Creare quindi una regola e configurare le soglie che attiveranno un avviso:

  1. Selezionare la risorsa dell'insieme di credenziali delle chiavi nel portale di Azure e quindi selezionare Avvisi in Monitoraggio.

    Screenshot che mostra l'opzione di menu Avvisi nella sezione Monitoraggio.

  2. Selezionare Nuova regola di avviso.

    Screenshot che mostra il pulsante per l'aggiunta di una nuova regola di avviso.

  3. Selezionare l'ambito della regola di avviso. È possibile selezionare un singolo insieme di credenziali o più insiemi di credenziali.

    Importante

    Quando si selezionano più insiemi di credenziali per l'ambito degli avvisi, tutti gli insiemi di credenziali selezionati devono trovarsi nella stessa area. È necessario configurare regole di avviso separate per gli insiemi di credenziali in aree diverse.

    Screenshot che mostra come selezionare un insieme di credenziali.

  4. Selezionare le soglie che definiscono la logica per gli avvisi e quindi selezionare Aggiungi. Il team di Key Vault consiglia di configurare le soglie seguenti per la maggior parte delle applicazioni, ma è possibile modificarle in base alle esigenze dell'applicazione:

    • La disponibilità di Key Vault scende al di sotto del 100% (soglia statica)

    Importante

    Questo avviso attualmente include in modo non corretto le operazioni a esecuzione prolungata e le segnala come il servizio non è disponibile. È possibile monitorare i log di Key Vault per verificare se le operazioni hanno esito negativo a causa dell'indisponibilità del servizio

    • La latenza di Key Vault è maggiore di 1000 ms (soglia statica)

    Nota

    L'intenzione della soglia di 1000 ms consiste nel notificare che il servizio Key Vault in questa area ha un carico di lavoro superiore alla media. Il contratto di servizio per le operazioni di Key Vault è più volte superiore, vedere il Contratto di servizio per i servizi online per il contratto di servizio corrente. Per avvisare quando le operazioni di Key Vault non rientrano nel contratto di servizio, usare le soglie dei documenti del contratto di servizio.

    • La saturazione complessiva dell'insieme di credenziali è maggiore del 75% (soglia statica)
    • La saturazione complessiva dell'insieme di credenziali supera la media (soglia dinamica)
    • I codici di errore totali sono superiori alla media (soglia dinamica)

    Screenshot che mostra dove si selezionano le condizioni per gli avvisi.

Esempio: Configurare una soglia di avviso statica per la latenza

  1. Selezionare Latenza complessiva dell'API del servizio come nome del segnale.

    Screenshot che mostra la selezione di un nome di segnale.

  2. Usare i parametri di configurazione seguenti:

    • Impostare Soglia su Statica.
    • Impostare Operatore su Maggiore di.
    • Impostare Tipo di aggregazione su Media.
    • Impostare Valore soglia su 1000.
    • Impostare Granularità aggregazione (periodo) su 5 minuti.
    • Impostare Frequenza di valutazione su Ogni minuto.

    Screenshot che mostra la logica configurata per una soglia di avviso statica.

  3. Selezionare Fatto.

Esempio: Configurare una soglia di avviso dinamica per la saturazione dell'insieme di credenziali

Quando si usa un avviso dinamico, è possibile visualizzare i dati cronologici dell'insieme di credenziali delle chiavi selezionato. L'area blu rappresenta l'utilizzo medio dell'insieme di credenziali delle chiavi. L'area rossa mostra i picchi che avrebbero attivato un avviso se fossero stati soddisfatti altri criteri nella configurazione dell'avviso. I punti rossi mostrano i casi di violazione in cui i criteri per l'avviso sono stati soddisfatti durante l'intervallo di tempo aggregato.

Screenshot che mostra un grafico della saturazione complessiva dell'insieme di credenziali.

È possibile impostare un avviso da attivare dopo un determinato numero di violazioni entro un determinato periodo di tempo. Se non si vogliono includere dati passati, è possibile escluderli nelle impostazioni avanzate.

  1. Usare i parametri di configurazione seguenti:

    • Impostare Nome dimensione su Tipo di transazione e Valori delle dimensioni su vaultoperation.
    • Impostare Soglia su Dinamica.
    • Impostare Operatore su Maggiore di.
    • Impostare Tipo di aggregazione su Media.
    • Impostare Sensibilità soglia su Media.
    • Impostare Granularità aggregazione (periodo) su 5 minuti.
    • Impostare Frequenza di valutazione su Ogni 5 minuti.
    • Configurare le Impostazioni avanzate (facoltativo).

    Screenshot che mostra la logica configurata per una soglia di avviso dinamica.

  2. Selezionare Fatto.

  3. Selezionare Aggiungi per aggiungere il gruppo di azioni configurato.

    Screenshot che mostra il pulsante per l'aggiunta di un gruppo di azioni.

  4. Nei dettagli dell'avviso abilitare l'avviso e assegnare una gravità.

    Screenshot che mostra dove abilitare l'avviso e assegnare una gravità.

  5. Creare l'avviso.

Esempio di avviso di posta elettronica

Se sono stati seguiti tutti i passaggi precedenti, si riceveranno avvisi di posta elettronica quando l'insieme di credenziali delle chiavi soddisfa i criteri di avviso configurati. L'avviso di posta elettronica seguente è un esempio.

Screenshot che evidenzia le informazioni necessarie per configurare un avviso di posta elettronica.

Esempio: Avviso di query di log per i certificati prossimi alla scadenza

È possibile impostare un avviso per notificare i certificati che stanno per scadere.

Nota

Gli eventi di scadenza prossimi per i certificati vengono registrati 30 giorni prima della scadenza.

  1. Passare a Log e incollare la query seguente nella finestra di query

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Selezionare Nuova regola di avviso

    Screenshot che mostra la finestra di query con la nuova regola di avviso selezionata.

  3. Nella scheda Condizione usare la configurazione seguente:

    • In Misurazione impostare granularità aggregazione su 1 giorno
    • In Divisione per dimensioni impostare La colonna ID risorsa su ResourceId.
    • Impostare CertName e DayTillExpire come dimensioni.
    • In Logica di avviso impostare Valore soglia su 0 e Frequenza di valutazione su 1 giorno.

    Screenshot che mostra la configurazione della condizione di avviso.

  4. Nella scheda Azioni configurare l'avviso per l'invio di un messaggio di posta elettronica

    1. Selezionare Crea gruppo di azioni

      Screenshot che mostra come creare un gruppo di azioni.

    2. Configurare il gruppo di azioni Crea

      Screenshot che mostra come configurare il gruppo di azioni.

    3. Configurare le notifiche per l'invio di un messaggio di posta elettronica

      Screenshot che mostra come configurare la notifica.

    4. Configurare i dettagli per attivare l'avviso di avviso

      Screenshot che mostra come configurare i dettagli delle notifiche.

    5. Selezionare Rivedi e crea

Passaggi successivi

Usare gli strumenti configurati in questo articolo per monitorare attivamente l'integrità dell'insieme di credenziali delle chiavi: