Ta emot och svara på key vault-meddelanden med Azure Event Grid
Azure Key Vault-integrering med Azure Event Grid aktiverar användarmeddelanden när statusen för en hemlighet som lagras i ett nyckelvalv har ändrats. En översikt över den här funktionen finns i Övervaka Key Vault med Event Grid.
Den här guiden beskriver hur du tar emot Key Vault-meddelanden via Event Grid och hur du svarar på statusändringar via Azure Automation.
Förutsättningar
- En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
- Ett nyckelvalv i din Azure-prenumeration. Du kan snabbt skapa ett nytt nyckelvalv genom att följa stegen i Ange och hämta en hemlighet från Azure Key Vault med hjälp av Azure CLI.
Begrepp
Event Grid är en händelsetjänst för molnet. Genom att följa stegen i den här guiden prenumererar du på händelser för Key Vault och dirigerar händelser till Automation. När en av hemligheterna i nyckelvalvet håller på att upphöra att gälla (definieras som 30 dagar före förfallodatum), meddelas Event Grid om statusändringen och gör ett HTTP POST till slutpunkten. En webbkrok utlöser sedan en Automation-körning av ett PowerShell-skript.
Skapa ett Automation-konto
Skapa ett Automation-konto via Azure-portalen:
Gå till portal.azure.com och logga in på din prenumeration.
I sökrutan anger du Automation-konton.
Under avsnittet Tjänster i listrutan i sökfältet väljer du Automation-konton.
Markera Lägga till.
Ange nödvändig information i fönstret Lägg till Automation-konto och välj sedan Skapa.
Skapa en runbook
När automationskontot är klart skapar du en runbook.
Välj det Automation-konto som du skapade.
Välj Runbooks under Process Automation.
Välj Skapa en runbook.
Namnge din runbook och välj PowerShell som runbook-typ.
Välj den runbook som du skapade och välj sedan knappen Redigera .
Ange följande kod (i testsyfte) och välj knappen Publicera . Den här åtgärden returnerar resultatet av den mottagna POST-begäran.
param
(
[Parameter (Mandatory = $false)]
[object] $WebhookData
)
#If runbook was called from Webhook, WebhookData will not be null.
if ($WebhookData) {
#rotate secret:
#generate new secret version in key vault
#update db/service with generated secret
#Write-Output "WebhookData <$WebhookData>"
Write-Output $WebhookData.RequestBody
}
else
{
# Error
write-Error "No input data found."
}
Skapa en webhook
Skapa en webhook för att utlösa din nyligen skapade runbook.
Välj Webhooks i avsnittet Resurser i runbooken som du publicerade.
Välj Lägg till webhook.
Välj Skapa ny webhook.
Ge webhooken ett namn, ange ett förfallodatum och kopiera URL:en.
Viktigt!
Du kan inte visa URL:en när du har skapat den. Se till att du sparar en kopia på en säker plats där du kan komma åt den under resten av den här guiden.
Välj Parametrar och kör inställningar och välj sedan OK. Ange inga parametrar. Knappen Skapa aktiveras.
Välj OK och välj sedan Skapa.
Skapa en Event Grid-prenumeration
Skapa en Event Grid-prenumeration via Azure-portalen.
Gå till nyckelvalvet och välj fliken Händelser .
Välj knappen Händelseprenumeration.
Skapa ett beskrivande namn för prenumerationen.
Välj Event Grid-schema.
Ämnesresurs bör vara det nyckelvalv som du vill övervaka för statusändringar.
För Filtrera till händelsetyper lämnar du alla alternativ markerade (9 markerade).
Som Typ av slutpunkt väljer du Webhook.
Välj Välj en slutpunkt. I det nya kontextfönstret klistrar du in webhooks-URL:en från steget Skapa en webhook i fältet Prenumerantslutpunkt .
Välj Bekräfta markering i kontextfönstret.
Välj Skapa.
Testa och verifiera
Kontrollera att Event Grid-prenumerationen är korrekt konfigurerad. Det här testet förutsätter att du prenumererar på meddelandet "Hemlig ny version skapad" i prenumerationen Skapa ett Event Grid och att du har de behörigheter som krävs för att skapa en ny version av en hemlighet i ett nyckelvalv.
Gå till ditt nyckelvalv på Azure-portalen.
Skapa en ny hemlighet. I testsyfte anger du förfallodatumet till nästa dag.
På fliken Händelser i nyckelvalvet väljer du den Event Grid-prenumeration som du skapade.
Under Mått kontrollerar du om en händelse har registrerats. Två händelser förväntas: SecretNewVersion och SecretNearExpiry. Dessa händelser verifierar att Event Grid har avbildat statusändringen av hemligheten i ditt nyckelvalv.
Gå till ditt Automation-konto.
Välj fliken Runbooks och välj sedan den runbook som du skapade.
Välj fliken Webhooks och bekräfta att tidsstämpeln "senast utlöst" är inom 60 sekunder från när du skapade den nya hemligheten. Det här resultatet bekräftar att Event Grid gjorde en POST till webhooken med händelseinformationen om statusändringen i nyckelvalvet och att webhooken utlöstes.
Gå tillbaka till din runbook och välj fliken Översikt .
Titta på listan Senaste jobb . Du bör se att ett jobb har skapats och att statusen är klar. Detta bekräftar att webhooken utlöste runbooken för att börja köra skriptet.
Välj det senaste jobbet och titta på POST-begäran som skickades från Event Grid till webhooken. Granska JSON och kontrollera att parametrarna för nyckelvalvet och händelsetypen är korrekta. Om parametern "händelsetyp" i JSON-objektet matchar händelsen som inträffade i nyckelvalvet (i det här exemplet Microsoft.KeyVault.SecretNearExpiry) lyckades testet.
Felsökning
Du kan inte skapa en händelseprenumeration
Omregistrera Event Grid och nyckelvalvsprovidern i dina Azure-prenumerationsresursproviders. Se Resursprovider och resurstyper i Azure.
Nästa steg
Grattis! Om du har följt alla dessa steg korrekt är du nu redo att programmatiskt svara på statusändringar av hemligheter som lagras i ditt nyckelvalv.
Om du har använt ett avsökningsbaserat system för att söka efter statusändringar av hemligheter i dina nyckelvalv kan du nu börja använda den här meddelandefunktionen. Du kan också ersätta testskriptet i din runbook med kod för att programmatiskt förnya dina hemligheter när de snart upphör att gälla.
Läs mer: