Azure İzleyici müşteri tarafından yönetilen anahtarlar

Azure İzleyici, Microsoft yönetilen anahtarları kullanarak verileri şifreler. Çalışma alanlarınızdaki verileri korumak için kendi şifreleme anahtarınızı kullanabilirsiniz. Azure İzleyici müşteri tarafından yönetilen anahtarları kullanarak şifreleme anahtarı yaşam döngüsünü ve günlüklere erişimi denetleyebilirsiniz. Müşteri tarafından yönetilen anahtarları ayarladıktan sonra, bağlı çalışma alanlarına alınan yeni veriler Azure Key Vault veya Azure Key Vault Yönetilen HSM (Donanım Güvenlik Modülü) içindeki anahtarınız kullanılarak şifrelenir.

Müşteri tarafından yönetilen anahtara genel bakış

Rest'te Veri Şifreleme, kuruluşlarda yaygın bir gizlilik ve güvenlik gereksinimidir. Azure'un durgun verilerin şifrelenmesini tamamen yönetmesine izin verebilir veya şifrelemeyi ve şifreleme anahtarlarını yakından yönetmek için çeşitli seçenekleri kullanabilirsiniz.

Azure İzleyici, Microsoft tarafından yönetilen anahtarlar (MMK) kullanılarak bekleyen tüm verilerin ve kaydedilen sorguların şifrelenmesini sağlar. Azure İzleyici şifreleme kullanımı, Azure Depolama şifreleme çalışma şekliyle aynıdır.

Anahtar yaşam döngüsünü denetlemek ve verilere erişimi iptal etmek için Azure Key Vault veya Azure Key Vault Yönetilen HSM içinde kendi anahtarınızı kullanarak verileri şifreleyin. Müşteri tarafından yönetilen anahtarlar özelliği ayrılmış kümelerde kullanılabilir ve daha yüksek bir koruma ve denetim düzeyi sağlar.

Ayrılmış kümelere aktarılan veriler, Microsoft yönetilen anahtarlar veya müşteri tarafından yönetilen anahtarlar kullanılarak hizmet düzeyinde ve iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak altyapı düzeyinde şifrelenir. Çift şifreleme, şifreleme algoritmalarından veya anahtarlardan birinin gizliliğinin ihlal edildiği bir senaryoya karşı koruma sağlar. Ayrılmış kümeler, Kilit Kutusu'nu kullanarak verileri korumanıza da olanak sağlar.

Son 14 gün içinde alınan veya sorgularda son kullanılan veriler, sorgu verimliliği için etkin önbellekte (SSD destekli) tutulur. Azure İzleyici, müşteri tarafından yönetilen anahtarları yapılandırıp yapılandırmadığınıza bakılmaksızın Microsoft'un yönettiği altyapı anahtarlarını kullanarak sıcak önbellek verilerini şifreler. Sıcak önbellek verilerine erişim, müşteri tarafından yönetilen anahtarınızın durumu tarafından yönetilir. Anahtara erişimi iptal ederseniz, sistem sık erişimli önbellek verilerini siler ve erişilemez hale gelir.

Önemli

Ayrılmış kümeler, günde en az 100 GB taahhüt katmanı fiyatlandırma modeli kullanır.

Azure İzleyici'da müşteri tarafından yönetilen anahtarlar nasıl çalışır?

Azure İzleyici, Azure Key Vault anahtarınıza erişim vermek için yönetilen kimliği kullanır. Log Analytics kümelerinin kimliği küme düzeyinde desteklenir. Birden çok çalışma alanında müşteri tarafından yönetilen anahtarlar sağlamak için Log Analytics ayrılmış küme kaynağı, Key Vault ile Log Analytics çalışma alanlarınız arasında ara kimlik bağlantısı görevi görür. Kümenin depolama alanı, Microsoft Entra ID aracılığıyla Azure Key Vault kimlik doğrulaması yapmak için kümeyle ilişkili yönetilen kimliği kullanır.

Kümeler iki yönetilen kimlik türünü destekler: sistem tarafından atanan ve kullanıcı tarafından atanan.

• Sistem tarafından atanan yönetilen kimlik - Daha basittir ve identitytype öğesini SystemAssigned olarak ayarladığınızda kümeyle birlikte otomatik olarak oluşturulur. Veri şifreleme ve şifre çözme için küme depolama alanınıza Key Vault erişim vermek için bu kimliği kullanın.

• Kullanıcı tarafından atanan yönetilen kimlik -identitytype öğesini UserAssigned olarak ayarladığınızda, küme oluşturma sırasında müşteri tarafından yönetilen anahtarları yapılandırmanıza ve küme oluşturulmadan önce Key Vault’unuzda buna izinler tanımanıza olanak tanır.

Yeni bir kümede veya bağlı çalışma alanları veri alan mevcut bir ayrılmış kümede müşteri tarafından yönetilen anahtarları yapılandırın. İstediğiniz zaman bir kümeden çalışma alanlarının bağlantısını kaldırabilirsiniz. Bağlı çalışma alanlarına alınan yeni veriler anahtarınız ile şifrelenir ve eski veriler Microsoft yönetilen anahtarlarla şifrelenir. Yapılandırma, eski ve yeni veriler arasında sorguların sorunsuz bir şekilde gerçekleştirildiği alımı veya sorguları kesintiye uğratmaz. Bir kümeden çalışma alanlarının bağlantısını kaldırdığınızda, alınan yeni veriler Microsoft yönetilen anahtarlarla şifrelenir.

Önemli

Müşteri tarafından yönetilen anahtarlar özelliği bölgeseldir. Azure Key Vault, ayrılmış kümeniz ve bağlı çalışma alanlarınız aynı bölgede olmalıdır, ancak farklı aboneliklerde olabilir.

1. Key Vault
2. Key Vault izinlerine sahip yönetilen kimliğe sahip Log Analytics küme kaynağı - kimlik, temel alınan ayrılmış küme depolama alanına yayılır
3. Özel küme
4. Ayrılmış kümeye bağlı çalışma alanları

Şifreleme anahtarı türleri

Depolama veri şifrelemesi üç tür anahtar kullanır:

• KEK - Anahtar Şifreleme Anahtarı (müşteri tarafından yönetilen anahtarınız)
• AEK - Hesap Şifreleme Anahtarı
• DEK - Veri Şifreleme Anahtarı

Geçerli olan kurallar şunlardır:

• Küme depolama alanı, AEK olarak bilinen her Depolama Hesabı için benzersiz bir şifreleme anahtarına sahiptir.
• AEK, diske yazılan her veri bloğunu şifreleyen anahtarlar olan DEKs oluşturur.
• Kümenizde müşteri tarafından yönetilen KEK yapılandırdığınızda, küme depolama alanı wrap şifreleme ve şifre çözme için Key Vault unwrap ve istekleri gönderir.
• KEK hiçbir zaman Anahtar Kasası'ndan çıkmaz. Anahtarınızı bir Azure Key Vault Yönetilen HSM'de depolarsanız, bu donanımdan da hiçbir zaman ayrılmaz.
• Azure Depolama kimlik doğrulaması için kümeyle ilişkili yönetilen kimliği kullanır. Azure Key Vault'a Microsoft Entra ID aracılığıyla erişir.

operasyonel anahtar koruması

Ayrılmış Log Analytics kümeleri tarafından kullanılan şifreleme modeli envelope encryption ilkelerini izler. Azure Key Vault veya Yönetilen HSM'de depolanan müşteri tarafından yönetilen anahtarlar, küme tarafından kullanılan hizmet düzeyi şifreleme anahtarlarını (AEK) korur. Bu hizmet düzeyi anahtarları kümenin kendisindeki depolama alanında kalıcı değildir.

Normal işlem sırasında, ayrılmış küme depolama alanı etkin şifreleme işlemleri için hizmet çalışma zamanı hafızasında AEK'yi önbelleğe alır ve düzenli aralıklarla anahtarı yenilemek için Key Vault ile iletişime geçer. Aşağıdaki ölçüler önbelleğe alınmış işlem anahtarlarını korur:

• Bildirilen kimlik doğrulaması - Kümenin managed identity Key Vault erişimini denetler ve anahtara yalnızca yetkili kümenin erişebilmesini sağlar.

• Azure platform işlem yalıtımı - Ayrılmış kümeler, hiper yönetici tarafından zorunlu kiracı yalıtımı, konak düzeyinde bellek korumaları, işletim sistemi düzeyinde işlem yalıtımı ve VM sınır zorlaması sağlayan Azure işlem altyapısı üzerinde çalışır. Azure platform yalıtımı hakkında daha fazla bilgi için bkz. Azure Genel Bulutta Yalıtım.

• Şifrelenmiş altyapı depolama -Altyapı düzeyinde platform tarafından yönetilen anahtarların kullanıldığı çift şifreleme, kümedeki verileri korur.

Geçici işletimsel önbelleğe alma bir kullanılabilirlik mekanizmasıdır. Kümenin geçici Key Vault bağlantı kesintileri (geçici ağ hataları veya DNS hataları gibi) sırasında alım ve sorgu işlemlerine devam etmesine olanak tanır. İşlem anahtarı önbelleğe alma, Key Vault'taki müşteri tarafından yönetilen anahtarın sağladığı korumanın yerini almaz veya zayıflatmaz. Sık erişimli önbellek de dahil olmak üzere şifrelenmiş verilere erişim CMK durumuna göre yönetilir. Anahtara erişimi iptal ederseniz şifrelenmiş verilere hizmet tarafından erişilemez hale gelir.

Gerekli izinler

Ayrılmış bir küme için müşteri tarafından yönetilen anahtarları sağlamak ve yönetmek için gereken kümeyle ilgili eylemleri gerçekleştirmek için şu izinlere ihtiyacınız vardır:

Eylem	gerekli izinler veya rol
Ayrılmış küme oluşturma	Microsoft.Resources/deployments/* ve Microsoft.OperationalInsights/clusters/write izinleri Örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlandığı gibi
Küme özelliklerini değiştirme	Microsoft.OperationalInsights/clusters/write izinleri, örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlanan
Çalışma alanlarını kümeye bağlama	Microsoft.OperationalInsights/clusters/write, Microsoft.OperationalInsights/workspaces/write ve Microsoft.OperationalInsights/workspaces/linkedservices/write izinleri, Log Analytics Katkı Sağlayıcı yerleşik rolü tarafından sağlandığı gibi örneğin
Çalışma alanı bağlantı durumunu denetleme	Microsoft.OperationalInsights/workspaces/read tarafından sağlanan çalışma alanı izinleri, örneğin
Kümeleri alma veya kümenin sağlama durumunu denetleme	Microsoft.OperationalInsights/clusters/read tarafından sağlanan izinleri, örneğin
Kümedeki taahhüt katmanını veya billingType'i güncelleştirme	Microsoft.OperationalInsights/clusters/write izinleri, örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlanan
Gerekli izinleri verme	*/write izinlerine sahip sahip veya Katkıda Bulunan rolü veya izinlerine sahip Microsoft.OperationalInsights/*
Çalışma alanının kümeyle bağlantısını kaldırma	Microsoft.OperationalInsights/workspaces/linkedServices/delete izinleri, örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlanan
Ayrılmış kümeyi silme	Microsoft.OperationalInsights/clusters/delete izinleri, örneğin, Log Analytics Katkıda Bulunan yerleşik rolü tarafından sağlanan

Müşteri tarafından yönetilen anahtar temini adımları

Ayrılmış bir kümede müşteri tarafından yönetilen anahtarları yapılandırmak için şu adımları izleyin:

1. Azure Key Vault KEK (depolama anahtarı)
2. Key Vault erişimine ayrılmış kümenin yönetilen kimlik türlerini eşleştirme
3. Yönetilen kimliğe Key Vault izinleri verin
4. Ayrılmış kümeyi anahtar tanımlayıcı ayrıntılarıyla güncelleştirme
5. Ayrılmış küme sağlamayı doğrulama
6. Çalışma alanlarını ayrılmış kümeye bağlama

Azure Key Vault KEK oluşturma veya atama (depolama anahtarı)

Azure Anahtar Yönetimi ürünlerinin bir portföyü, kullanabileceğiniz kasaları ve yönetilen HSM'leri listeler.

Ayrılmış kümenin bulunduğu bölgede veya kümenin yer alacağını planladığınız bölgede var olan bir Azure Key Vault oluşturun veya kullanın. Azure Key Vault'unuza, günlük şifrelemesi için kullanmak üzere bir anahtar oluşturun veya aktarın. anahtarınızı ve Azure İzleyici verilerinize erişimi korumak için Azure Key Vault kurtarılabilir olarak yapılandırmanız gerekir. Bu yapılandırmayı Key Vault özellikleri altında doğrulayabilirsiniz. Hem Yumuşak silme hem de Silme korumasını etkinleştirin.

Önemli

Süresi dolmak üzere olan anahtar gibi Azure Key Vault olaylara etkili bir şekilde yanıt vermek için Azure Event Grid aracılığıyla bildirimleri ayarlayın. Anahtarın süresi dolduğunda alma ve sorgular etkilenmez, ancak kümedeki anahtarı güncelleştiremezsiniz. Çözmek için şu adımları uygulayın:

1. Azure portalındaki JSON Görünümü altında kümenin genel bakış sayfasında kullanılan anahtarı belirleyin.
2. Azure Key Vault anahtar son kullanma tarihini uzatın.
3. En son sürümü her zaman otomatik olarak kullanmak için kümeyi tercihen sürüm değeriyle ''etkin anahtarla güncelleştirin.

CLI ve PowerShell kullanarak Key Vault'de bu ayarları güncelleştirebilirsiniz:

• Yumuşak Silme
• Temizleme koruması , geçici silme işleminden sonra bile gizli dizi ve kasanın zorla silinmesine karşı koruma sağlar.

Ayrılmış kümenin yönetilen kimlik türlerini Key Vault erişimle eşleştirme

Ayrılmış kümeler, verileri şifrelemek için Key Vault KEK'inize erişmek için yönetilen kimliklerini kullanır. Veri şifreleme ve şifre çözme işlemlerine izin vermek için ayrılmış kümenin yönetilen kimlik türü Key Vault rol atama kimliğiyle eşleşmelidir.

identity type SystemAssigned özelliğini UserAssigned veya olarak ayarlayın.

Örneğin, sistem tarafından atanan yönetilen kimlikle küme oluşturmak için istek gövdesine aşağıdaki değerleri ekleyin:

{
  "identity": {
      "type": "SystemAssigned"
      }
}

Not

Alma veya sorguları kesintiye uğratmadan kümeyi oluşturduktan sonra kimlik türünü aşağıdaki noktalara dikkat ederek değiştirebilirsiniz:

• Küme için kimliği ve anahtarı aynı anda güncelleştiremezsiniz. Bunları ardışık iki işlemde güncelleştirin.
• SystemAssigned UserAssigned'e güncellenirken, Key Vault'taki UserAssigned kimliğini tanıyın, ardından ayrılmış kümedeki identity'ü güncelleyin.
• UserAssigned SystemAssigned'e güncellenirken, Key Vault'taki SystemAssigned kimliğini tanıyın, ardından ayrılmış kümedeki identity'ü güncelleyin.

Ayrılmış küme oluşturma hakkında daha fazla bilgi için bkz. Ayrılmış küme oluşturma ve yönetme.

Yönetilen kimliğe Key Vault izinleri verme

Key Vault, ayrılmış kümenize ve temel alınan depolamaya erişim sağlamak için iki izin modeline sahiptir: Azure rol tabanlı erişim denetimi (Azure RBAC - önerilir) ve Vault erişim ilkeleri (geçmiş).

1. Azure RBAC ataması yapın (önerilir)

   Rol atamaları eklemek için Microsoft.Authorization/roleAssignments/write ve Microsoft.Authorization/roleAssignments/delete izinlerine sahip Kullanıcı Erişim Yöneticisi veya Owner gibi bir rolünüz olmalıdır.

   1. Azure portalında Key Vault açın ve SettingsAccess yapılandırmasıAzure rol tabanlı erişim denetimi ve Apply.
   2. Go to access control (IAM) seçeneğini belirleyin ve Key Vault Crypto Service Encryption User rol atamasını ekleyin.
   3. Üyeler sekmesinde Yönetilen kimlik'i seçin ve kimlik aboneliğini ve üye olarak kimliği seçin.

   

2. Eski depo erişim politikasını belirle

   Azure portalında Key Vault açın ve Access İlkeleri>Vault erişim ilkesi>+ Erişim İlkesi Ekle öğesini seçerek şu ayarlarla bir ilke oluşturun:

   • Anahtar izinleri -Al>Anahtarı Sarmala ve Anahtarı Sarmaldan Çıkar öğelerini seçin.

   • Kümede kullanılan kimlik türüne bağlı olarak bir sorumlu seçin (sistem veya kullanıcı tarafından atanan yönetilen kimlik)

     • Sistem tarafından atanan yönetilen kimlik için küme adını veya küme sorumlusu kimliğini girin.
     • Kullanıcı tarafından atanan yönetilen kimlik için kimlik adını girin.

   

   Key Vault anahtarınızı ve Azure İzleyici verilerinize erişimi korumak için kurtarılabilir olarak yapılandırıldığını doğrulamak için Get izni gerekir.

Ayrılmış kümeyi anahtar tanımlayıcı ayrıntılarıyla güncelleştirme

Kümedeki tüm işlemler için Microsoft.OperationalInsights/clusters/write eylem izni gerekir. */write eylemini içeren Sahip veya Katkıda Bulunan rolleri, bu izni verebilir. Microsoft.OperationalInsights/* eylemini içeren Log Analytics Katkıda Bulunan rolü de bu izni verir.

Bu adım, ayrılmış küme depolama alanını AEKwrap ve için kullanılacak anahtar ve unwrapsürümle güncelleştirir.

Önemli

• Anahtar döndürme otomatik veya açık anahtar sürümü başına olabilir. Ayrılmış kümedeki anahtar tanımlayıcı ayrıntılarını güncelleştirmeden önce uygun bir yaklaşım belirlemek için Anahtar yenileme'ye bakın.
• Ayrılmış küme güncelleştirmeleri aynı işlemde hem kimlik hem de anahtar tanımlayıcı ayrıntılarını içermemelidir. Her ikisini de güncelleştirmeniz gerekiyorsa, güncelleştirme iki ardışık işlemde olmalıdır.

Key Vault izinlerini verme ekran görüntüsü.

Kümedeki KeyVaultProperties'yi anahtar tanımlayıcı ayrıntılarıyla güncelle.

İşlem zaman uyumsuzdur ve tamamlanması biraz zaman alabilir.

Azure CLI

Tavsiye

--key-version için boş bir "" dizesi geçirdiğinizde, küme her zaman Key Vault'da en son anahtar sürümünü kullanır ve anahtar döndürmeden sonra kümeyi güncelleştirmeye gerek yoktur.

Aşağıdaki Azure CLI örneğinde az monitor log-analytics cluster update komutu kullanılır.

# Set variables
resourceGroupName="<ResourceGroupName>"
clusterName="<ClusterName>"
keyVaultName="<KeyVaultName>"
keyName="<KeyName>"

# Build the Key Vault URI
keyVaultUri="https://$keyVaultName.vault.azure.net"

# Update the cluster with a customer-managed key
az monitor log-analytics cluster update \
  --resource-group "$resourceGroupName" \
  --name "$clusterName" \
  --key-vault-uri "$keyVaultUri" \
  --key-name "$keyName" \
  --key-version ""

Not

Azure CLI komutlar geçerli CLI bağlamından Azure Resource Manager uç noktasını kullandığından, komut söz diziminde management.azure.com belirtilmesi gerekmez.

Azure PowerShell

Tavsiye

-KeyVersion için boş bir '' dizesi geçirdiğinizde, küme her zaman Key Vault'da en son anahtar sürümünü kullanır ve anahtar döndürme sonrasında kümeyi güncelleştirmeye gerek yoktur.

Aşağıdaki Azure PowerShell örnekte Update-AzOperationalInsightsCluster cmdlet'i kullanılır.

# Set variables
$resourceGroupName = "<ResourceGroupName>"
$clusterName = "<ClusterName>"
$keyVaultName = "<KeyVaultName>"
$keyName = "<KeyName>"

# Build the Key Vault URI
$keyVaultUri = "https://$keyVaultName.vault.azure.net"

# Define parameters for Update-AzOperationalInsightsCluster
$updateAzOperationalInsightsClusterParams = @{
    ResourceGroupName = $resourceGroupName
    ClusterName       = $clusterName
    KeyVaultUri       = $keyVaultUri
    KeyName           = $keyName
    KeyVersion        = ''
}

# Update the cluster with a customer-managed key
Update-AzOperationalInsightsCluster @updateAzOperationalInsightsClusterParams

Not

Azure PowerShell cmdlet'leri geçerli Az bağlamındaki Azure Resource Manager uç noktasını kullandığından, cmdlet söz diziminde management.azure.com belirtilmesi gerekmez.

REST

Aşağıdaki REST örneği , Kümeler - REST API'yi güncelleştirme işlemini kullanır.

PATCH https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/clusters/{ClusterName}?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Content-Type: application/json

{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://<KeyVaultName>.vault.azure.net",
      "keyName": "<KeyName>",
      "keyVersion": ""
    }
  }
}

Yanıt:

Anahtarın yayılmasını tamamlamak biraz zaman alır. Kümede bir GET isteği göndererek güncelleştirme durumunu denetleyin ve KeyVaultProperties özelliklerine bakın. Yanıtta yakın zamanda güncelleştirilmiş anahtarınız görüntülenir.

Anahtar güncelleştirmesi tamamlandığında istek yanıtı GET : 202 (Kabul Edildi) ve üst bilgi

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
    },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Bicep

Not

Bicep şablon dağıtımları, kısmi PATCH işlemleri değil, oluşturma veya güncelleştirme işlemleridir. Değiştirmek istemediğiniz gerekli tüm küme özelliklerini ekleyin.

Aşağıdaki Bicep örneğinde Microsoft.OperationalInsights clusters kaynak türü kullanılır.

param clusterName string = '<ClusterName>'
param azureRegion string = '<AzureRegion>'
param keyVaultName string = '<KeyVaultName>'
param keyName string = '<KeyName>'

var keyVaultUri = 'https://${keyVaultName}.vault.azure.net'

resource logAnalyticsCluster 'Microsoft.OperationalInsights/clusters@2025-07-01' = {
  name: clusterName
  location: azureRegion
  properties: {
    keyVaultProperties: {
      keyVaultUri: keyVaultUri
      keyName: keyName
      keyVersion: ''
    }
  }
}

ARM (JSON)

Not

ARM (JSON) şablon dağıtımları kısmi PATCH işlemleri değil, oluşturma veya güncelleştirme işlemleridir. Değiştirmek istemediğiniz gerekli tüm küme özelliklerini ekleyin.

Aşağıdaki ARM (JSON) örneği, Microsoft.OperationalInsights clusters kaynak türünü kullanır.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "<ClusterName>"
    },
    "azureRegion": {
      "type": "string",
      "defaultValue": "<AzureRegion>"
    },
    "keyVaultName": {
      "type": "string",
      "defaultValue": "<KeyVaultName>"
    },
    "keyName": {
      "type": "string",
      "defaultValue": "<KeyName>"
    }
  },
  "variables": {
    "keyVaultUri": "[format('https://{0}.vault.azure.net', parameters('keyVaultName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/clusters",
      "apiVersion": "2025-07-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('azureRegion')]",
      "properties": {
        "keyVaultProperties": {
          "keyVaultUri": "[variables('keyVaultUri')]",
          "keyName": "[parameters('keyName')]",
          "keyVersion": ""
        }
      }
    }
  ]
}

Ayrılmış küme sağlamayı doğrulama

Çalışma alanlarını kümeye bağlamadan önce, küme sağlama durumunun Succeeded olduğunu doğrulayın. Hazırlama işleminden önce çalışma alanlarını bağlar ve verileri alırsanız, işlem alınan verileri siler ve geri getiremezsiniz.

Ayrılmış kümeyi anahtar tanımlayıcı ayrıntılarıyla güncelleştirme bölümünde açıklandığı gibi CLI, PowerShell veya REST API kullanarak sağlama durumunu doğrulayın.

Çalışma alanlarını ayrılmış kümeye bağlama

Önemli

Bu adımı yalnızca kümenin sağlanmasından sonra gerçekleştirin. Hazırlama işleminden önce çalışma alanlarını bağlar ve verileri alırsanız, işlem alınan verileri siler ve geri getiremezsiniz.

Çalışma alanını bağlamak için bkz. Ayrılmış küme oluşturma ve yönetme.

Müşteri tarafından yönetilen anahtarlar ile ilgili işlemleri yönetme

• Anahtar iptali
• Anahtar döndürme
• Kaydedilen sorgular ve günlük araması uyarıları için müşteri tarafından yönetilen anahtar
• Çalışma Kitapları için müşteri tarafından yönetilen anahtar
• Müşteri Kasası
• Dikkat edilmesi gerekenler ve sınırlar
• Troubleshooting

Anahtar iptali

Önemli

• Verilerinize erişimi iptal etmek için anahtarınızı devre dışı bırakın veya Key Vault Erişim İlkesi'ni silin.
• Kümenin identitytype ayarlarını None olarak değiştirmeniz, verilerinize erişimi de iptal eder, ancak desteğe başvurmadan geri alamayacağınız için bu yaklaşımı kullanmayın.

Kasıtlı anahtar iptali ile geçici Key Vault bağlantı kesintisi arasında ayrım yapmak önemlidir:

• Kasıtlı anahtar iptali - Anahtarı kasıtlı olarak devre dışı bırakdığınızda veya erişim ilkesini sildiğinizde, kümenin depolama alanı bir saat içinde veya daha erken kullanılamaz duruma gelir. Bağlı çalışma alanlarına alınan yeni veriler silinir ve kurtarılamaz. Sistem sık erişimli önbellek (SSD) verilerini siler ve erişilemez hale gelir. Sorgular bu çalışma alanlarında başarısız olur. Daha önce alınan veriler, kümeniz ve çalışma alanlarınız silinmediği sürece kalır. Veri saklama ilkesi, erişilemeyen verileri yönetir ve saklama süresine ulaşıldığında bunları temizler. Küme depolama, wrap ve unwrap işlemleri için periyodik olarak Key Vault'a ulaşmaya çalışır. Anahtarı yeniden etkinleştirdikten ve unwrap başarılı olduktan sonra sistem, SSD verilerini ayrılmış küme depolama alanından yeniden yükler. Veri alımı ve sorgu işlevselliği 30 dakika içinde devam eder.

• Temporary Key Vault kesintisi - Geçici bağlantı hataları (ağ zaman aşımları, DNS hataları) sırasında küme, veri alımını ve sorgu kullanılabilirliğini kesintisiz olarak korumak için önbelleğe alınmış işlem anahtarlarını kullanır. Küme düzenli aralıklarla Key Vault iletişim kurmaya çalışır ve bağlantı geri yüklendiğinde normal işlemler sürdürülür. Geçici işletimsel önbelleğe alma, anahtar iptal denetimlerini atlamaz veya zayıflatmaz. Bir kümenin geçici bağlantı kesintisi sırasında Key Vault erişim olmadan ne kadar süreyle çalışabileceğine ilişkin yayımlanmış belirli bir süre yoktur.

Anahtar döndürme

Tuş döndürmenin iki modu vardır:

• Otomatik Döndürme - Kümede "keyVaultProperties" öğesini güncelleştirin ve "keyVersion" özelliğini belirtmeyin veya bunu '' olarak ayarlayın. Depolama otomatik olarak en son anahtar sürümünü kullanır.

• Belirli anahtar sürümünü güncelleştirme -"keyVaultProperties" özelliklerini güncelleştirin ve "keyVersion" özelliğindeki anahtar sürümünü güncelleştirin. Anahtar döndürme, küme içinde "keyVersion" özelliğinin açık bir şekilde güncellenmesini gerektirir. Daha fazla bilgi için Anahtar tanımlayıcı ayrıntılarıyla kümeyi güncelleştirme bölümüne bakın. Key Vault'de yeni bir anahtar sürümü oluşturur ancak kümedeki anahtarı güncelleştirmezseniz, küme depolama alanı önceki anahtarınızı kullanmaya devam eder. Kümede yeni bir anahtarı güncelleştirmeden önce eski anahtarı devre dışı bırakır veya silerseniz , anahtar iptal durumunu girersiniz.

Anahtar döndürme işlemi sırasında ve sonrasında tüm verileriniz erişilebilir durumda kalır. Küme, verileri her zaman Key Vault'daki yeni Anahtar Şifreleme Anahtarı (KEK) sürümünüzle şifrelenen Hesap Şifreleme Anahtarı (AEK) ile şifreler.

Kaydedilen sorgular ve günlük araması uyarıları için müşteri tarafından yönetilen bir anahtar

Log Analytics kullanılan sorgu dili ifade edicidir ve sorgu söz diziminde veya açıklamalarında hassas bilgiler içerebilir. Katı mevzuat ve uyumluluk gereksinimleri olan kuruluşlar, bu tür bilgileri müşteri tarafından yönetilen bir anahtar kullanarak şifrelenmiş tutmalıdır. Depolama Hesabı çalışma alanınıza bağladığınızda, Azure İzleyici kaydedilmiş sorguları, işlevleri ve anahtarınızla şifrelenmiş günlük arama uyarılarını depolamanıza olanak tanır.

Not

Sorgular, müşteri tarafından yönetilen anahtar yapılandırmasından bağımsız olarak, aşağıdaki senaryolarda Microsoft Anahtarı (MMK) ile şifreli kalır: Azure Panoları, Azure Logic Apps, Azure Notebook'lar ve Automation Runbook'ları.

Depolama Hesabınızı kaydedilen sorgular için bağladığınızda, hizmet kaydedilen sorguları ve arama uyarısı sorgularını Depolama Hesabınızda depolar. Depolama Hesabınızda bekleme halindeki şifreleme politikasının kontrolüne sahip olarak, müşteri tarafından yönetilen bir anahtar kullanarak kayıtlı sorguları ve günlük arama uyarılarını koruyabilirsiniz. Bu Depolama Hesabıyla ilişkili maliyetlerden siz sorumlusunuz.

Kaydedilen sorgular için müşteri tarafından yönetilen anahtar ayarlamadan önce dikkat edilmesi gerekenler

• Çalışma alanınızda ve Depolama Hesabınızda yazma izinleriniz olmalıdır.
• Depolama Hesabı StorageV2 ve Log Analytics çalışma alanınızla aynı bölgede olmalıdır.
• Kaydedilen sorgular için depolama hesabını bağlarken , hizmet mevcut kaydedilmiş sorguları ve işlevleri gizlilik için çalışma alanınızdan kaldırır. Bu sorgulara ihtiyacınız varsa, yapılandırmadan önce var olan kaydedilmiş sorguları ve işlevleri kopyalayın. Kaydedilmiş sorguları PowerShell kullanarak veya çalışma alanınızdaki Otomasyon altında şablonu dışarı aktardığınızda görüntüleyebilirsiniz.
• Sorgu paketine kaydedilen sorgular bağlı depolama hesabında depolanmaz ve müşteri tarafından yönetilen bir anahtar kullanılarak şifrelenemez. Sorguları müşteri tarafından yönetilen bir anahtar kullanarak korumak için Eski Sorgu Olarak Kaydet'in kullanılması önerilir.
• Bağlı Depolama Hesabında kayıtlı sorgular ve işlevler hizmet yapıtlarıdır ve biçimleri değişebilir.
• Kaydedilen sorgular için Depolama Hesabı bağlandığında sorgu geçmişi ve gösterge paneline sabitleme desteklenmez.
• Kaydedilen sorgular ve günlük araması uyarı sorguları için tek veya ayrı bir Depolama Hesabı bağlayabilirsiniz.
• Sorguları ve işlevleri anahtarınız ile şifrelenmiş tutmak için müşteri tarafından yönetilen bir anahtar kullanarak bağlı Depolama Hesabını yapılandırın. Depolama Hesabı veya sonraki bir sürümü oluşturduğunuzda bu işlemi gerçekleştirin.

Kaydedilen sorgular için bağlı Depolama Hesabını yapılandırma

Depolama Hesabınızda kayıtlı sorguları ve işlevleri korumak için depolama hesabını bağlayın.

Not

İşlem, kaydedilmiş sorguları ve işlevleri çalışma alanınızdan Depolama Hesabınızdaki bir tabloya kaldırır. Kaydedilen sorguları ve işlevleri çalışma alanınıza geri taşımak için kaydedilen sorgular için Depolama Hesabı bağlantısını kaldırabilirsiniz. kaydedilen sorgular veya işlevler işlemden sonra Azure portalında görünmüyorsa tarayıcıyı yenileyin.

Azure CLI

Aşağıdaki Azure CLI örneği, az monitor log-analytics workspace linked-storage create komutunu kullanır.

# Set variables
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
storageAccountName="<StorageAccountName>"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build the full resource ID for the storage account
storageAccountId="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

# Link the storage account to the workspace for custom log queries
az monitor log-analytics workspace linked-storage create \
  --resource-group "$resourceGroupName" \
  --workspace-name "$workspaceName" \
  --type Query \
  --storage-accounts "$storageAccountId"

Not

Azure CLI komutlar geçerli CLI bağlamından Azure Resource Manager uç noktasını kullandığından, komut söz diziminde management.azure.com belirtilmesi gerekmez.

Azure PowerShell

Aşağıdaki Azure PowerShell örnek New-AzOperationalInsightsLinkedStorageAccount cmdlet'ini kullanır.

# Set variables
$resourceGroupName = "<ResourceGroupName>"
$workspaceName = "<WorkspaceName>"
$storageAccountName = "<StorageAccountName>"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build the full resource ID for the storage account
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

# Define parameters for New-AzOperationalInsightsLinkedStorageAccount
$newAzOperationalInsightsLinkedStorageAccountParams = @{
    ResourceGroupName = $resourceGroupName
    WorkspaceName     = $workspaceName
    DataSourceType    = "Query"
    StorageAccountId  = $storageAccountId
}

# Link the storage account to the workspace for custom log queries
New-AzOperationalInsightsLinkedStorageAccount @newAzOperationalInsightsLinkedStorageAccountParams

Not

Azure PowerShell cmdlet'leri geçerli Az bağlamındaki Azure Resource Manager uç noktasını kullandığından, cmdlet söz diziminde management.azure.com belirtilmesi gerekmez.

REST

Aşağıdaki REST örneği Bağlı Depolama Hesapları - REST API Oluşturma veya Güncelleştirme işlemini kullanır.

PUT https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{WorkspaceName}/linkedStorageAccounts/Query?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Content-Type: application/json

{
  "properties": {
    "storageAccountIds": [
      "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>"
    ]
  }
}

Bicep

Aşağıdaki Bicep örneği, Microsoft.OperationalInsights workspaces/linkedStorageAccounts kaynak türünü kullanır.

param subscriptionId string = '<SubscriptionId>'
param resourceGroupName string = '<ResourceGroupName>'
param workspaceName string = '<WorkspaceName>'
param storageAccountName string = '<StorageAccountName>'

var storageAccountId = '/subscriptions/${subscriptionId}/resourceGroups/${resourceGroupName}/providers/Microsoft.Storage/storageAccounts/${storageAccountName}'

resource logAnalyticsWorkspace 'Microsoft.OperationalInsights/workspaces@2025-07-01' existing = {
  name: workspaceName
}

resource linkedStorageAccount 'Microsoft.OperationalInsights/workspaces/linkedStorageAccounts@2025-07-01' = {
  parent: logAnalyticsWorkspace
  name: 'Query'
  properties: {
    storageAccountIds: [
      storageAccountId
    ]
  }
}

ARM (JSON)

Aşağıdaki ARM (JSON) örneği, Microsoft.OperationalInsights workspaces/linkedStorageAccounts kaynak türünü kullanır.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "subscriptionId": {
      "type": "string",
      "defaultValue": "<SubscriptionId>"
    },
    "resourceGroupName": {
      "type": "string",
      "defaultValue": "<ResourceGroupName>"
    },
    "workspaceName": {
      "type": "string",
      "defaultValue": "<WorkspaceName>"
    },
    "storageAccountName": {
      "type": "string",
      "defaultValue": "<StorageAccountName>"
    }
  },
  "variables": {
    "storageAccountId": "[format('/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.Storage/storageAccounts/{2}', parameters('subscriptionId'), parameters('resourceGroupName'), parameters('storageAccountName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/linkedStorageAccounts",
      "apiVersion": "2025-07-01",
      "name": "[format('{0}/Query', parameters('workspaceName'))]",
      "properties": {
        "storageAccountIds": [
          "[variables('storageAccountId')]"
        ]
      }
    }
  ]
}

Çalışma Kitapları için müşteri tarafından yönetilen anahtar

Azure İzleyici, anahtarınız ile şifrelenmiş çalışma kitabı sorgularını kendi Depolama Hesabınızda da depolamanıza olanak tanır. Kaydedilen sorgular ve günlük araması uyarıları için müşteri tarafından yönetilen anahtar bölümünde açıklanan konuların aynısını göz önünde bulundurun.

Çalışma Kitabı Kaydet işleminde İçeriği bir Azure Depolama Hesabına kaydet seçin.

Kaydedilen günlük uyarısı sorguları için müşteri tarafından yönetilen anahtarı ayarlamadan önce dikkat edilmesi gerekenler

• Küme, uyarı sorgularını Depolama Hesabında blob olarak kaydeder.
• Tetiklenen günlük araması uyarıları arama sonuçlarını veya uyarı sorgusunu içermez. Tetiklenen uyarıların bağlamını almak için uyarı boyutlarını kullanın.
• Anahtarınızı kullanarak sorguları ve işlevleri şifrelenmiş tutmak için bağlı Depolama Hesabını müşteri tarafından yönetilen bir anahtarla yapılandırın. Depolama Hesabı veya sonraki bir sürümü oluşturduğunuzda bu işlemi gerçekleştirin.

Günlük araması uyarı sorguları için bağlı Depolama Hesabını yapılandırma

Depolama Hesabınızda günlük araması uyarı sorgularını tutmak için Bir Depolama Hesabını Uyarılar için bağlayın.

Azure CLI

Aşağıdaki Azure CLI örneği, az monitor log-analytics workspace linked-storage create komutunu kullanır.

# Set variables
resourceGroupName="<ResourceGroupName>"
workspaceName="<WorkspaceName>"
storageAccountName="<StorageAccountName>"

# Get the subscription ID from the current Azure CLI context
subscriptionId=$(az account show --query id --output tsv)

# Build the full resource ID for the storage account
storageAccountId="/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

# Link the storage account to the workspace for alerts
az monitor log-analytics workspace linked-storage create \
  --resource-group "$resourceGroupName" \
  --workspace-name "$workspaceName" \
  --type Alerts \
  --storage-accounts "$storageAccountId"

Not

Azure CLI komutlar geçerli CLI bağlamından Azure Resource Manager uç noktasını kullandığından, komut söz diziminde management.azure.com belirtilmesi gerekmez.

Azure PowerShell

Aşağıdaki Azure PowerShell örnek New-AzOperationalInsightsLinkedStorageAccount cmdlet'ini kullanır.

# Set variables
$resourceGroupName = "<ResourceGroupName>"
$workspaceName = "<WorkspaceName>"
$storageAccountName = "<StorageAccountName>"

# Get the subscription ID from the current Azure PowerShell context
$subscriptionId = (Get-AzContext).Subscription.Id

# Build the full resource ID for the storage account
$storageAccountId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

# Define parameters for New-AzOperationalInsightsLinkedStorageAccount
$newAzOperationalInsightsLinkedStorageAccountParams = @{
    ResourceGroupName = $resourceGroupName
    WorkspaceName     = $workspaceName
    DataSourceType    = "Alerts"
    StorageAccountId  = $storageAccountId
}

# Link the storage account to the workspace for alerts
New-AzOperationalInsightsLinkedStorageAccount @newAzOperationalInsightsLinkedStorageAccountParams

Not

Azure PowerShell cmdlet'leri geçerli Az bağlamındaki Azure Resource Manager uç noktasını kullandığından, cmdlet söz diziminde management.azure.com belirtilmesi gerekmez.

REST

Aşağıdaki REST örneği Bağlı Depolama Hesapları - REST API Oluşturma veya Güncelleştirme işlemini kullanır. Günlük araması uyarı sorguları için bir depolama hesabını çalışma alanına bağlar.

PUT https://management.azure.com/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{WorkspaceName}/linkedStorageAccounts/Alerts?api-version=2025-07-01
Authorization: Bearer {AccessToken}
Content-Type: application/json

{
  "properties": {
    "storageAccountIds": [
      "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>"
    ]
  }
}

Bicep

Aşağıdaki Bicep örneği, Microsoft.OperationalInsights workspaces/linkedStorageAccounts kaynak türünü kullanır.

param subscriptionId string = '<SubscriptionId>'
param resourceGroupName string = '<ResourceGroupName>'
param workspaceName string = '<WorkspaceName>'
param storageAccountName string = '<StorageAccountName>'

var storageAccountId = '/subscriptions/${subscriptionId}/resourceGroups/${resourceGroupName}/providers/Microsoft.Storage/storageAccounts/${storageAccountName}'

resource logAnalyticsWorkspace 'Microsoft.OperationalInsights/workspaces@2025-07-01' existing = {
  name: workspaceName
}

resource linkedStorageAccount 'Microsoft.OperationalInsights/workspaces/linkedStorageAccounts@2025-07-01' = {
  parent: logAnalyticsWorkspace
  name: 'Alerts'
  properties: {
    storageAccountIds: [
      storageAccountId
    ]
  }
}

ARM (JSON)

Aşağıdaki ARM (JSON) örneği, Microsoft.OperationalInsights workspaces/linkedStorageAccounts kaynak türünü kullanır.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "subscriptionId": {
      "type": "string",
      "defaultValue": "<SubscriptionId>"
    },
    "resourceGroupName": {
      "type": "string",
      "defaultValue": "<ResourceGroupName>"
    },
    "workspaceName": {
      "type": "string",
      "defaultValue": "<WorkspaceName>"
    },
    "storageAccountName": {
      "type": "string",
      "defaultValue": "<StorageAccountName>"
    }
  },
  "variables": {
    "storageAccountId": "[format('/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.Storage/storageAccounts/{2}', parameters('subscriptionId'), parameters('resourceGroupName'), parameters('storageAccountName'))]"
  },
  "resources": [
    {
      "type": "Microsoft.OperationalInsights/workspaces/linkedStorageAccounts",
      "apiVersion": "2025-07-01",
      "name": "[format('{0}/Alerts', parameters('workspaceName'))]",
      "properties": {
        "storageAccountIds": [
          "[variables('storageAccountId')]"
        ]
      }
    }
  ]
}

Müşteri Güvenlik Kutusu

Kilit Kutusu'nu kullanarak, müşteri desteği görevlendirmeleri sırasında verilerinize erişmeye yönelik Microsoft mühendis isteklerini onaylayabilir veya reddedebilirsiniz.

Log Analytics ayrılmış kümeler, abonelik düzeyinde verilere erişim izni veren Kilit Kutusu'nu destekler.

Daha fazla bilgi edinmek için bkz. Microsoft Azure için Özel Kilit Kutusu.

Dikkat edilmesi gerekenler ve sınırlar

• Her bölgede ve abonelikte en fazla beş etkin küme oluşturabilirsiniz.
• Her bölgede ve abonelikte en fazla yedi ayrılmış kümeniz (etkin veya yakın zamanda silinmiş) olabilir.
• Bir kümeye en fazla 1.000 Log Analytics çalışma alanı bağlayabilirsiniz.
• 30 günlük bir süre içinde belirli bir çalışma alanında en fazla iki çalışma alanı bağlantı işlemi gerçekleştirebilirsiniz.
• Kümeyi başka bir kaynak grubuna veya aboneliğe taşıma şu anda desteklenmiyor.
• Küme güncelleştirmeleri aynı işlemde hem kimlik hem de anahtar tanımlayıcı ayrıntılarını içermemelidir. Her ikisini de güncelleştirmek için iki ardışık işlem kullanın.
• Kilit kutusu şu anda Çin'de kullanılamıyor.
• Güvenli Kutu, Yardımcı Tablo Planı olan tablolara uygulanmaz.
• Çift şifreleme , desteklenen bölgelerde Ekim 2020'den itibaren oluşturulan kümeler için otomatik olarak yapılandırılır. Kümenizin çift şifreleme için yapılandırılıp yapılandırılmadığını doğrulamak için kümede bir GET isteği gönderip, çift şifreleme etkinleştirilmiş kümeler için isDoubleEncryptionEnabled değerinin true olduğunu gözlemleyebilirsiniz.
• Bir küme oluşturur ve "kümeler için çift şifrelemeyi desteklemez"region-name hatasını alırsanız, REST istek gövdesine ekleyerek "properties": {"isDoubleEncryptionEnabled": false} çift şifreleme olmadan kümeyi oluşturmaya devam edebilirsiniz.
• Küme oluşturulduktan sonra çift şifreleme ayarlarını değiştiremezsiniz.
• Kümeye bağlı olan silinmiş bir çalışma alanı için kurtarma işlemine izin verilir. Bu yalnızca geçici silme döneminde mümkündür. Kurtarma, çalışma alanını önceki durumuna döndürür ve kümeye bağlı kalır.
• Müşteri tarafından yönetilen anahtar şifrelemesi, yapılandırma zamanından sonra yeni alınan veriler için geçerlidir. Yapılandırmadan önce alınan veriler Microsoft anahtarlarla şifrelenmiş olarak kalır. Müşteri tarafından yönetilen anahtar yapılandırmasından önce ve sonra alınan verileri sorunsuz bir şekilde sorgulayabilirsiniz.
• Azure Key Vault kurtarılabilir olarak yapılandırmanız gerekir. Bu özellikler varsayılan olarak etkinleştirilmez ve CLI veya PowerShell kullanarak yapılandırmanız gerekir:
  
  • Yumuşak Silme.
  • Gizli diziyi ve kasayı geçici silme işleminden sonra bile zorla silmeye karşı korumak için temizleme koruması açılmalıdır.
• Azure Key Vault, kümeniz ve çalışma alanlarınız aynı bölgede ve aynı Microsoft Entra kiracısında olmalıdır, ancak farklı aboneliklerde olabilir.
• Kümenin identitytype ayarlarını None olarak değiştirmek, verilerinize erişimi de iptal eder, ancak bunu desteğe başvurmadan geri döndüremeyeceğiniz için bu yaklaşım önerilmez. Verilerinize erişimi iptal etmenin önerilen yolu anahtar iptalidir.
• Key Vault bir Private-Link (sanal ağ) içindeyse, müşteri tarafından yönetilen anahtarı kullanıcı tarafından atanan yönetilen kimlikle kullanamazsınız. Bu senaryoda sistem tarafından atanan bir yönetilen kimlik kullanın.

Sorun giderme

• Key Vault kullanılabilirlik başına davranış - Kümenin kasıtlı anahtar iptaline kıyasla geçici Key Vault kesintilerini nasıl işlediğiyle ilgili ayrıntılar için bkz. Key iptali. Küme, AEK’yi kısa süreler için önbelleğe alır ve düzenli aralıklarla, 6 ile 60 saniye arasında bir hızda Key Vault ile bağlantı kurar.

• Kümenizi sağlama veya güncelleştirme durumundayken güncelleştirirseniz güncelleştirme başarısız olur.

• Küme oluştururken çakışma hatası alırsanız, son 14 gün içinde aynı ada sahip bir kümeyi silmiş ve adını rezerve etmiş olabilirsiniz. Silinen küme adları, silindikten 14 gün sonra kullanılabilir duruma gelir.

• Çalışma alanı başka bir kümeye bağlıysa çalışma alanını kümeye bağlama işlemi başarısız olur.

• Bir küme oluşturur ve KeyVaultProperties hemen belirtirseniz, kümeye bir kimlik atanıp Key Vault verilene kadar işlem başarısız olabilir.

• Mevcut bir kümeyi KeyVaultProperties ve Get ile güncellerken Key Vault'ta anahtar erişim ilkesi eksik olduğunda, işlem başarısız olur.

• Kümenizi dağıtamazsanız Azure Key Vault, küme ve bağlı çalışma alanlarınızın aynı bölgede olduğunu doğrulayın. Bunlar, farklı aboneliklerde bulunabilir.

• Anahtarınızı Key Vault döndürür ve kümedeki yeni anahtar tanımlayıcı ayrıntılarını güncelleştirmezseniz küme önceki anahtarı kullanmaya devam eder ve verilerinize erişilemez hale gelir. Veri alımını ve sorgu işlevselliğini sürdürmek için kümedeki yeni anahtar tanımlayıcı ayrıntılarını güncelleştirin. '' gösterimini kullanarak anahtar sürümünü güncelleştirerek ayrılmış küme depolama alanının her zaman en son anahtar sürümünü kullandığından emin olun.

• Küme oluşturma, küme anahtarı güncelleştirmesi ve küme silme gibi bazı işlemlerin uzun süre çalışır ve tamamlanması biraz zaman alabilir. Kümeye veya çalışma alanına istek GET göndererek işlem durumunu denetleyerek yanıtı gözlemleyebilirsiniz. Örneğin, bağlantısız bir çalışma alanında clusterResourceId altında featuresyoktur.

• Hata iletileri

  Küme Güncelleştirmesi

  • 400 - Küme silme durumunda. Eş zamansız işlem sürdürülüyor. Herhangi bir güncelleştirme işlemi gerçekleştirilmeden önce kümenin işlemini tamamlaması gerekir.
  • 400 - KeyVaultProperties boş değil, ancak biçimi hatalı. Bkz. anahtar tanımlayıcısı güncelleştirmesi.
  • 400 - Key Vault anahtarı doğrulanamadı. İzinlerin olmamasından veya anahtarın mevcut olmamasından kaynaklanıyor olabilir. Key Vault içinde anahtar ve Erişim İlkesi'ni ayarladığınızdan emin olun.
  • 400 - Anahtar kurtarılamaz. Key Vault geçici silme ve temizleme koruması olarak ayarlanmalıdır. bkz. Key Vault belgeleri.
  • 400 - İşlem şu anda yürütülemiyor. Asenkron işlemin tamamlanmasını bekleyin ve tekrar deneyin.
  • 400 - Küme silme durumunda. Asenkron işlemin tamamlanmasını bekleyin ve tekrar deneyin.

  Küme Getir

  • 404 - Küme bulunamadı. Küme silinmiş olabilir. Bu isimle bir küme oluşturmaya çalışır ve bir çakışma yaşarsanız, küme silinme sürecindedir.

İlgili içerik

• Log Analytics ayrılmış küme faturalaması
• Log Analytics çalışma alanlarının doğru tasarımı