Journalisation d’Azure Key Vault

Une fois que vous avez créé un ou plusieurs coffres de clés, vous voulez probablement contrôler qui accède à ces derniers, par quel moyen et quand. Pour ce faire, vous pouvez activer la journalisation d’Azure Key Vault, ce qui enregistre les informations dans un compte de stockage Azure que vous fournissez. Pour obtenir des instructions pas à pas sur la configuration de cette option, consultez Guide pratique pour activer la journalisation de Key Vault.

Vous pouvez accéder aux informations de journalisation 10 minutes (au maximum) après l’opération sur le coffre de clés. Dans la plupart des cas, ce sera plus rapide. C’est à vous de gérer vos journaux d’activité dans votre compte de stockage :

  • Utilisez les méthodes de contrôle d’accès Azure standard dans votre compte de stockage pour assurer la sécurité de vos journaux en limitant l’accès à ces derniers.
  • Supprimez les journaux d’activité que vous ne souhaitez plus conserver dans votre compte de stockage.

Pour obtenir des informations générales sur Key Vault, consultez l’article Qu’est-ce qu’Azure Key Vault ?. Pour plus d’informations sur les endroits où Key Vault est disponible, consultez la page de tarification. Découvrez plus d’informations sur l’utilisation d’Azure Monitor pour Key Vault.

Interpréter vos journaux d’activité Key Vault

Quand vous activez la journalisation, un nouveau conteneur appelé insights-logs-auditevent est automatiquement créé pour le compte de stockage que vous avez spécifié. Vous pouvez utiliser ce même compte de stockage pour collecter les journaux de plusieurs coffres de clés.

Les objets blob individuels sont stockés sous forme de texte en tant qu’objet blob JSON. Examinons un exemple d’entrée du journal.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

Le tableau ci-après répertorie les noms de champ et leurs descriptions :

Nom du champ Description
time Date et heure en temps universel coordonné (UTC).
resourceId ID de ressource Azure Resource Manager. Pour les journaux d’activité de coffre de clés, il s’agit toujours de l’ID de ressource du coffre de clés.
operationName Nom de l’opération, comme indiqué dans le tableau suivant.
operationVersion Version d’API REST demandée par le client.
category Type de résultat. Pour les journaux Key Vault, AuditEvent est la seule valeur disponible.
resultType Résultat de la requête d’API REST.
resultSignature État HTTP
resultDescription Description supplémentaire du résultat le cas échéant.
durationMs Délai nécessaire pour répondre à la demande API REST, en millisecondes. La latence du réseau n’est pas incluse dans ce chiffre et donc, le temps mesuré côté client peut ne pas correspondre à cette durée.
callerIpAddress Adresse IP du client qui a effectué la requête.
correlationId GUID facultatif que le client peut transférer pour mettre en corrélation les journaux d’activité côté client avec les journaux d’activité côté service (Key Vault).
identity Identité issue du jeton qui a été présenté dans la requête d’API REST. Il s’agit généralement d’un « utilisateur », d’un « principal de service » ou de la « utilisateur + appId », comme dans le cas d’une requête résultant d’une cmdlet Azure PowerShell.
properties Informations variables en fonction de l’opération (operationName). Dans la plupart des cas, ce champ contient des informations sur le client (chaîne d’agent utilisateur transmise par le client), l’URI de requête d’API REST exacte et le code d’état HTTP. En outre, quand un objet est retourné suite à une requête (par exemple, KeyCreate ou VaultGet), ce champ contient également l’URI de la clé (sous la forme id), l’URI du coffre ou l’URI du secret.

Les valeurs du champ operationName sont indiquées au format ObjectVerb. Par exemple :

  • Toutes les opérations de coffre de clés présentent le format Vault<action>, comme VaultGet et VaultCreate.
  • Toutes les opérations de clé présentent le format Key<action>, comme KeySign et KeyList.
  • Toutes les opérations de secret présentent le format Secret<action>, comme SecretGet et SecretListVersions.

Le tableau ci-après répertorie les valeurs operationName et les commandes API REST correspondantes :

Table des noms d’opération

operationName Commande API REST
Authentification Authentification par le biais du point de terminaison Azure Active Directory
VaultGet Obtention des informations sur un coffre de clés
VaultPut Création ou mise à jour d’un coffre de clés
VaultDelete Suppression d’un coffre de clés
VaultPatch Mise à jour d’un coffre de clés
VaultList Liste de l’ensemble des coffres de clés dans un groupe de ressources
VaultPurge Vider le coffre supprimé
VaultRecover Récupérer un coffre supprimé
VaultGetDeleted Obtenir un coffre supprimé
VaultListDeleted Lister les coffres supprimés
VaultAccessPolicyChangedEventGridNotification Événement lié à la modification de la stratégie d’accès au coffre publié

Utiliser les journaux d’activité Azure Monitor

Vous pouvez utiliser la solution Key Vault dans les journaux Azure Monitor pour consulter les journaux AuditEvent de Key Vault. Dans les journaux Azure Monitor, vous utilisez des requêtes de journaux pour analyser les données et obtenir les informations dont vous avez besoin.

Pour plus d’informations, notamment sur la procédure de configuration correspondante, consultez Azure Key Vault dans Azure Monitor.

Pour mieux comprendre comment analyser les journaux, voir Exemples de requêtes de journal kusto

Étapes suivantes