Registro de Azure Key Vault
Después de crear uno o varios almacenes de claves, es probable que desee supervisar cómo y cuándo se accede a los almacenes de claves y quién lo hace. Puede hacerlo al habilitar el registro de Azure Key Vault, que guarda la información en una cuenta de almacenamiento de Azure proporcionada por el usuario. Para obtener instrucciones paso a paso sobre cómo configurar esta opción, consulte Habilitación del registro de Key Vault.
Puede acceder a la información de registro 10 minutos (como máximo) después de la operación del almacén de claves. En la mayoría de los casos, será más rápido que esto. Es decisión suya administrar los registros en la cuenta de almacenamiento:
- Utilice los métodos estándar de control de acceso de Azure en su cuenta de almacenamiento para proteger los registros mediante la restricción de las personas pueden acceder a ellos.
- Elimine los registros que ya no desee mantener en la cuenta de almacenamiento.
Para obtener información general sobre Key Vault, consulte ¿Qué es Azure Key Vault? Para obtener información acerca de dónde está disponible Key Vault, consulte la página de precios. Para obtener información acerca del uso de Azure Monitor para Key Vault.
Interpretación de los registros de Key Vault
Al habilitar el registro, un nuevo contenedor denominado insights-logs-auditevent se crea automáticamente para su cuenta de almacenamiento especificada. Puede usar esta misma cuenta de almacenamiento para recopilar registros de varios almacenes de claves.
Los blobs individuales se almacenan como texto, con formato de blob JSON. Veamos una entrada de registro como ejemplo.
{
"records":
[
{
"time": "2016-01-05T01:32:01.2691226Z",
"resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
"operationName": "VaultGet",
"operationVersion": "2015-06-01",
"category": "AuditEvent",
"resultType": "Success",
"resultSignature": "OK",
"resultDescription": "",
"durationMs": "78",
"callerIpAddress": "104.40.82.76",
"correlationId": "",
"identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
"properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
}
]
}
En la tabla siguiente se muestran los nombres y las descripciones de los campos:
| Nombre del campo | Descripción |
|---|---|
| time | Fecha y hora en UTC. |
| resourceId | Identificador de recursos de Azure Resource Manager. Para los registros de Key Vault, siempre es el identificador de recurso de Key Vault. |
| operationName | Nombre de la operación, como se documenta en la tabla siguiente. |
| operationVersion | Versión de la API REST solicitada por el cliente. |
| category | Tipo de resultado. Para los registros de Key Vault, AuditEvent es el único valor disponible. |
| resultType | Resultado de la solicitud de la API REST. |
| resultSignature | Estado de HTTP |
| resultDescription | Descripción adicional acerca del resultado, cuando esté disponible. |
| durationMs | Tiempo que tardó en atender la solicitud de API de REST, en milisegundos. Esto no incluye la latencia de red, por lo que el tiempo que se mide en el cliente podría no coincidir con este tiempo. |
| callerIpAddress | Dirección IP del cliente que realizó la solicitud. |
| correlationId | Un GUID opcional que el cliente puede pasar para correlacionar los registros del lado cliente con los registros del lado servicio (Key Vault). |
| identity | Identidad del token que se ha presentado al realizar la solicitud de la API REST. Suele ser un "usuario", una "entidad de servicio" o una combinación de "usuario + appId", como en el caso de una solicitud procedente de un cmdlet de Azure PowerShell. |
| properties | Información que varía en función de la operación (operationName). En la mayoría de los casos, este campo contiene información del cliente (la cadena del agente de usuario pasada por el cliente), el URI de la solicitud de la API REST exacta y el código de estado HTTP. Además, cuando se devuelve un objeto como resultado de una solicitud (por ejemplo, KeyCreate o VaultGet) también contiene el URI de la clave (como id), el URI del almacén o el URI del secreto. |
Los valores del campo operationName tienen el formato ObjectVerb. Por ejemplo:
- Todas las operaciones del almacén de claves tienen el formato
Vault<action>, comoVaultGetyVaultCreate. - Todas las operaciones de claves tienen el formato
Key<action>, comoKeySignyKeyList. - Todas las operaciones de secretos tienen el formato
Secret<action>, comoSecretGetySecretListVersions.
En la tabla siguiente se muestran los valores operationName y los comandos correspondientes de la API REST:
Tabla de nombres de operaciones
| operationName | Comando de la API REST |
|---|---|
| Autenticación | Autenticar mediante un punto de conexión de Azure Active Directory |
| VaultGet | Obtener información acerca de un almacén de claves |
| VaultPut | Crear o actualizar un almacén de claves |
| VaultDelete | Eliminar un almacén de claves |
| VaultPatch | Crear o actualizar un almacén de claves |
| VaultList | Lista de todos los almacenes de claves en un grupo de recursos |
| VaultPurge | Purgar un almacén eliminado |
| VaultRecover | Recuperar un almacén eliminado |
| VaultGetDeleted | Obtener un almacén eliminado |
| VaultListDeleted | Enumerar los almacenes eliminados |
| VaultAccessPolicyChangedEventGridNotification | La directiva de acceso del almacén ha cambiado el evento publicado. |
Uso de registros de Azure Monitor
Puede utilizar la solución Key Vault en registros de Azure Monitor para revisar los registros AuditEvent de Key Vault. En los registros de Azure Monitor, las consultas de los registros se usan para analizar los datos y obtener la información que necesita.
Para más información, incluido cómo configurar esta opción, consulte Azure Key Vault en Azure Monitor.
Para obtener información sobre cómo analizar registros, vea Consultas de registro de kusto de ejemplo.
Pasos siguientes
- Habilitación del registro de Key Vault
- Azure Monitor
- Para ver un tutorial que use Azure Key Vault en una aplicación web .NET, consulte Uso de Azure Key Vault desde una aplicación web.
- Para conocer las referencias de programación, consulte la Guía del desarrollador de Azure Key Vault.
- Para obtener una lista de los cmdlets de Azure PowerShell 1.0 para Azure Key Vault, consulte Azure Key Vault Cmdlets(Cmdlets de Azure Key Vault).