Azure Key Vault 경고 구성
Azure Key Vault를 사용하여 프로덕션 비밀을 저장하기 시작한 후에는 서비스가 의도한 대로 작동하는지 확인하기 위해 키 자격 증명 모음의 상태를 모니터링하는 것이 중요합니다.
서비스의 크기를 조정하기 시작하면 키 자격 증명 모음으로 전송되는 요청 수가 증가합니다. 이러한 증가는 요청의 대기 시간을 증가시킬 가능성이 있습니다. 극단적인 경우 요청이 제한되어 서비스 성능에 영향을 줄 수 있습니다. 또한 키 자격 증명 모음이 비정상적인 수의 오류 코드를 보내는지 알아야 액세스 정책 또는 방화벽 구성 문제를 신속하게 처리할 수 있습니다.
이 문서에서는 키 자격 증명 모음이 비정상 상태인 경우 팀에 즉시 작업을 수행하라고 경고할 수 있도록 지정된 임계값에서 경고를 구성하는 방법을 보여 줍니다. 이메일(팀 배포 목록 권장)을 보내거나, Azure Event Grid 경고를 실행하거나, 전화번호로 전화를 걸거나 문자를 보내는 경고를 구성할 수 있습니다.
다음 경고 유형 중에서 선택할 수 있습니다.
- 고정 값을 기반으로 하는 정적 경고
- 모니터링된 메트릭이 정의된 시간 범위 내에서 특정 횟수만큼 키 자격 증명 모음의 평균 제한을 초과하는 경우 알려주는 동적 경고
Important
새로 구성된 경고가 경고 전송을 시작하는 데 최대 10분이 소요될 수 있습니다.
이 문서에서는 Key Vault에 대한 경고에 중점을 둡니다. 로그와 메트릭을 결합하여 글로벌 모니터링 솔루션을 제공하는 Key Vault 인사이트에 대한 자세한 내용은 Key Vault 인사이트로 키 자격 증명 모음 모니터링을 참조하세요.
작업 그룹 구성
작업 그룹은 알림 및 속성의 구성 가능한 목록입니다. 경고 구성의 첫 번째 단계는 작업 그룹을 만들고 경고 유형을 선택하는 것입니다.
Azure Portal에 로그인합니다.
검색 상자에서 경고를 검색합니다.
작업 관리를 선택합니다.
+ 작업 그룹 추가를 선택합니다.
작업 그룹의 작업 유형 값을 선택합니다. 이 예에서는 이메일 및 SMS 경고를 만듭니다. 메일/SMS/푸시/음성을 선택합니다.
대화 상자에서 이메일 및 SMS 세부 정보를 입력한 다음 확인을 선택합니다.
경고 임계값 구성
다음으로 규칙을 만들고 경고를 트리거할 임계값을 구성합니다.
Azure Portal에서 키 자격 증명 모음 리소스를 선택한 다음 모니터링에서 경고를 선택합니다.
새 경고 규칙을 선택합니다.
경고 규칙의 범위를 선택합니다. 단일 자격 증명 모음 또는 여러 자격 증명 모음을 선택할 수 있습니다.
Important
경고 범위에 대해 여러 자격 증명 모음을 선택하는 경우 선택한 모든 자격 증명 모음이 동일한 지역에 있어야 합니다. 다른 지역의 자격 증명 모음에 대해 별도의 경고 규칙을 구성해야 합니다.
경고 논리를 정의하는 임계값을 선택한 다음 추가를 선택합니다. Key Vault 팀에서는 대부분의 애플리케이션에 대해 다음 임계값을 구성할 것을 권장하지만 애플리케이션 요구 사항에 따라 사용자가 직접 조정할 수 있습니다.
- Key Vault 가용성이 100%(정적 임계값) 미만으로 떨어짐
Important
이 경고는 현재 장기 실행 작업을 잘못 포함하고 서비스를 사용할 수 없음으로 보고합니다. 대신 서비스를 사용할 수 없으므로 Key Vault 로그를 모니터링하여 작업에 실패하는지 확인할 수 있습니다.
- Key Vault 대기 시간이 1000ms(정적 임계값)을 초과함
참고 항목
1000ms 임계값의 의도는 이 지역의 Key Vault 서비스에 평균보다 워크로드가 많음을 알리는 것입니다. Key Vault 작업의 SLA는 몇 배 더 높습니다. 현재 SLA의 경우 Online Services에 대한 서비스 수준 계약을 참조하세요. Key Vault 작업이 SLA를 벗어났을 때 경고하려면 SLA 문서의 임계값을 사용합니다.
- 전체 자격 증명 모음 포화도가 75%(정적 임계값)보다 높음
- 전체 자격 증명 모음 포화도가 평균 초과(동적 임계값)
- 총 오류 코드가 평균(동적 임계값)보다 높음
예: 대기 시간에 대한 정적 경고 임계값 구성
전체 서비스 API 대기 시간을 신호 이름으로 선택합니다.
다음 구성 매개 변수를 사용합니다.
- 임계값을 정적으로 설정합니다.
- 연산자를 보다 큼으로 설정합니다.
- 집계 유형을 평균으로 설정합니다.
- 임계값을 1000으로 설정합니다.
- 집계 단위(기간)를 5분으로 설정합니다.
- 평가 빈도를 1분마다로 설정합니다.
완료를 선택합니다.
예: 자격 증명 모음 포화에 대한 동적 경고 임계값 구성
동적 경고를 사용하면 선택한 키 자격 증명 모음의 기록 데이터를 볼 수 있습니다. 파란색 영역은 키 자격 증명 모음의 평균 사용량을 나타냅니다. 빨간색 영역은 경고 구성의 다른 기준이 충족된 경우 경고를 트리거했을 스파이크를 보여 줍니다. 빨간색 점은 집계된 기간 동안 경고 기준이 충족된 위반 사례를 보여 줍니다.
설정된 시간 내에 특정 위반 횟수 후 경고가 발생하도록 설정할 수 있습니다. 과거 데이터를 포함하지 않으려면 고급 설정에서 제외하는 옵션이 있습니다.
다음 구성 매개 변수를 사용합니다.
- 차원 이름을 트랜잭션 형식으로 설정하고 차원 값을 vaultoperation으로 설정합니다.
- 임계값을 동적으로 설정합니다.
- 연산자를 보다 큼으로 설정합니다.
- 집계 유형을 평균으로 설정합니다.
- 임계값 감도를 중간으로 설정합니다.
- 집계 단위(기간)를 5분으로 설정합니다.
- 평가 빈도를 5분마다로 설정합니다.
- 고급 설정을 구성합니다(선택 사항).
완료를 선택합니다.
구성한 작업 그룹을 추가하려면 추가를 선택합니다.
경고 세부 정보에서 경고를 사용하도록 설정하고 심각도를 할당합니다.
경고를 만듭니다.
예제 이메일 경고
이전 단계를 모두 따른 경우 키 자격 증명 모음이 구성한 경고 조건을 충족할 때 이메일 경고를 받게 됩니다. 다음 이메일 경고는 예시입니다.
예: 만료가 임박한 인증서에 대한 로그 쿼리 경고
곧 만료되는 인증서에 대해 알리도록 경고를 설정할 수 있습니다.
참고 항목
인증서 만료가 임박한 이벤트는 만료 30일 전에 기록됩니다.
로그로 이동하여 쿼리 창에 아래 쿼리를 붙여넣습니다.
AzureDiagnostics | where OperationName =~ 'CertificateNearExpiryEventGridNotification' | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d) | extend DaysTillExpire = datetime_diff("Day", CertExpire, now()) | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
새 경고 규칙 선택
조건 탭에서 다음 구성을 사용합니다.
- 측정에서 집계 세부사항을 1일로 설정합니다.
- 크기별 분할에서 리소스 ID 열을 ResourceId로 설정합니다.
- CertName 및 DayTillExpire를 차원으로 설정합니다.
- 경고 논리에서 임계값을 0으로 설정하고 평가 빈도를 1일로 설정합니다.
작업 탭에서 이메일을 보내도록 경고를 구성합니다.
- 작업 그룹 만들기를 선택합니다.
- 작업 그룹 만들기 구성
- 이메일을 보내도록 알림을 구성합니다.
- 경고 경보를 트리거하도록 세부 정보를 구성합니다.
- 검토 + 만들기를 선택합니다.
- 작업 그룹 만들기를 선택합니다.
다음 단계
이 문서에서 설정한 도구를 사용하여 키 자격 증명 모음의 상태를 능동적으로 모니터링합니다.