Configurar alertas do Azure Key Vault

Depois de começar a usar o Azure Key Vault para armazenar seus segredos de produção, é importante monitorar a integridade do cofre de chaves para garantir que seu serviço funcione conforme o esperado.

À medida que você começa a escalar seu serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Esse aumento tem o potencial de aumentar a latência de suas solicitações. Em casos extremos, isso pode fazer com que suas solicitações sejam limitadas e afetar o desempenho do serviço. Você também precisa saber se seu cofre de chaves está enviando um número incomum de códigos de erro, para que você possa lidar rapidamente com quaisquer problemas com uma política de acesso ou configuração de firewall.

Este artigo mostrará como configurar alertas em limites especificados para que você possa alertar sua equipe para agir imediatamente se o cofre de chaves estiver em um estado não íntegro. Você pode configurar alertas que enviam um email (de preferência para uma lista de distribuição de equipe), disparam uma notificação da Grade de Eventos do Azure ou ligam ou enviam mensagens de texto para um número de telefone.

Pode escolher entre estes tipos de alerta:

• Um alerta estático baseado num valor fixo
• Um alerta dinâmico que irá notificá-lo se uma métrica monitorizada exceder o limite médio do seu cofre de chaves um determinado número de vezes dentro de um intervalo de tempo definido

Importante

Pode levar até 10 minutos para que os alertas recém-configurados comecem a enviar notificações.

Este artigo concentra-se em alertas para o Cofre da Chave. Para obter informações sobre os insights do Key Vault, que combinam logs e métricas para fornecer uma solução de monitoramento global, consulte Monitorando seu cofre de chaves com insights do Key Vault.

Configurar um grupo de ações

Um grupo de ações é uma lista configurável de notificações e propriedades. A primeira etapa na configuração de alertas é criar um grupo de ações e escolher um tipo de alerta:

1. Inicie sessão no portal do Azure.

2. Procure Alertas na caixa de pesquisa.

3. Selecione Gerenciar ações.

   

4. Selecione + Adicionar grupo de ações.

   

5. Escolha o valor Tipo de ação para seu grupo de ações. Neste exemplo, criaremos um alerta por e-mail e SMS. Selecione Email/SMS/Push/Voice.

   

6. Na caixa de diálogo, insira detalhes de e-mail e SMS e selecione OK.

   

Configurar limites de alerta

Em seguida, crie uma regra e configure os limites que dispararão um alerta:

1. Selecione seu recurso de cofre de chaves no portal do Azure e, em seguida, selecione Alertas em Monitoramento.

   

2. Selecione Nova regra de alerta.

   

3. Selecione o escopo da regra de alerta. Você pode selecionar um único cofre ou vários cofres.

   Importante

   Ao selecionar vários cofres para o escopo de seus alertas, todos os cofres selecionados devem estar na mesma região. Você precisa configurar regras de alerta separadas para cofres em regiões diferentes.

   

4. Selecione os limites que definem a lógica dos seus alertas e, em seguida, selecione Adicionar. A equipe do Key Vault recomenda configurar os seguintes limites para a maioria dos aplicativos, mas você pode ajustá-los com base nas necessidades do aplicativo:

   • A disponibilidade do Cofre de Chaves cai abaixo de 100% (limite estático)

   Importante

   Atualmente, este alerta inclui incorretamente operações de longa execução e as relata como o serviço indisponível. Você pode monitorar os logs do Cofre de Chaves para ver se as operações estão falhando devido ao serviço estar indisponível

   • A latência do Cofre da Chave é superior a 1000 ms (limite estático)

   Nota

   A intenção do limite de 1000 ms é notificar que o serviço Key Vault nesta região tem uma carga de trabalho superior à média. Nosso SLA para operações do Key Vault é várias vezes maior, consulte o Contrato de Nível de Serviço para Serviços Online para obter informações sobre o SLA atual. Para alertar quando as operações do Key Vault estiverem fora do SLA, use os limites dos documentos do SLA.

   • A saturação geral do cofre é maior que 75% (limite estático)
   • A saturação geral do cofre excede a média (limite dinâmico)
   • O total de códigos de erro é superior à média (limiar dinâmico)

   

Exemplo: Configurar um limite de alerta estático para latência

1. Selecione Latência Geral da Api de Serviço como o nome do sinal.

   

2. Use os seguintes parâmetros de configuração:

   • Defina Limiar como Estático.
   • Defina Operador como Maior que.
   • Defina Tipo de agregação como Média.
   • Defina o valor do limite como 1000.
   • Defina a granularidade da agregação (Período) para 5 minutos.
   • Defina a Frequência de avaliação para Cada 1 Minuto.

   

3. Selecionar Concluído.

Exemplo: Configurar um limite de alerta dinâmico para saturação do cofre

Ao usar um alerta dinâmico, você poderá ver os dados históricos do cofre de chaves selecionado. A área azul representa o uso médio do cofre de chaves. A área vermelha mostra picos que teriam disparado um alerta se outros critérios na configuração de alerta fossem atendidos. Os pontos vermelhos mostram casos de violações em que os critérios para o alerta foram atendidos durante a janela de tempo agregada.

Você pode definir um alerta para disparar após um certo número de violações dentro de um tempo definido. Se você não quiser incluir dados anteriores, há uma opção para excluí-los nas configurações avançadas.

1. Use os seguintes parâmetros de configuração:

   • Defina Nome da Dimensão como Tipo de Transação e Valores de Dimensão como vaultoperation.
   • Defina Threshold como Dynamic.
   • Defina Operador como Maior que.
   • Defina Tipo de agregação como Média.
   • Defina a sensibilidade do limiar como Média.
   • Defina a granularidade da agregação (Período) para 5 minutos.
   • Defina a frequência de avaliação para cada 5 minutos.
   • Defina as configurações avançadas (opcional).

   

2. Selecionar Concluído.

3. Selecione Adicionar para adicionar o grupo de ações que você configurou.

   

4. Nos detalhes do alerta, habilite-o e atribua uma gravidade.

   

5. Crie o alerta.

Exemplo de alerta por e-mail

Se você seguiu todas as etapas anteriores, receberá alertas por e-mail quando o cofre de chaves atender aos critérios de alerta que você configurou. O seguinte alerta de e-mail é um exemplo.

Exemplo: alerta de consulta de log para certificados de quase expiração

Você pode definir um alerta para notificá-lo sobre certificados que estão prestes a expirar.

Nota

Os eventos de quase expiração para certificados são registrados 30 dias antes da expiração.

1. Vá para Logs e cole abaixo da consulta na janela de consulta

   AzureDiagnostics
   | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
   | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
   | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
   | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
   
   

2. Selecione Nova regra de alerta

   

3. Na guia Condição , use a seguinte configuração:

   • No conjunto de medição , a granularidade da agregação para 1 dia
   • Em Dividir por dimensões , defina a coluna ID do Recurso como ResourceId.
   • Defina CertName e DayTillExpire como dimensões.
   • Em Lógica de alerta, defina o valor Limiar como 0 e a Frequência da avaliação como 1 dia.

   

4. Na guia Ações , configure o alerta para enviar um e-mail

   1. Selecione criar grupo de ação

      

   2. Configurar Criar grupo de ação

      

   3. Configurar notificações para enviar um e-mail

      

   4. Configurar Detalhes para disparar o alerta de Aviso

      

   5. Selecione Rever + criar

Próximos passos

Use as ferramentas configuradas neste artigo para monitorar ativamente a integridade do cofre de chaves:

• Monitore o Cofre da Chave
• Referência de dados do Cofre de Chaves de Monitoramento
• Criar um alerta de consulta de log para um recurso do Azure