Azure Monitor – ügyfél által kezelt kulcs

Az Azure Monitor adatai Microsoft által felügyelt kulcsokkal titkosítva lesznek. A saját titkosítási kulcsával megvédheti a munkaterületeken tárolt adatokat és mentett lekérdezéseket. Az Azure Monitor ügyfél által felügyelt kulcsai nagyobb rugalmasságot biztosítanak a naplók hozzáférés-vezérlésének kezeléséhez. A konfigurálás után a csatolt munkaterületekre betöltött új adatok titkosítva lesznek az Azure Key Vaultban tárolt kulccsal vagy az Azure Key Vault által felügyelt "HSM"-sel.

A konfiguráció előtt tekintse át a korlátozásokat és a korlátozásokat .

Ügyfél által felügyelt kulcs áttekintése

A rest titkosítás a szervezetek általános adatvédelmi és biztonsági követelménye. Az Azure teljesen felügyelheti a titkosítást inaktív állapotban, miközben számos lehetősége van a titkosítási és titkosítási kulcsok szigorú kezelésére.

Az Azure Monitor biztosítja, hogy az összes adat és mentett lekérdezés titkosítva legyen inaktív állapotban a Microsoft által felügyelt kulcsokkal (MMK). Az Azure Key Vaultban saját kulccsal titkosíthatja az adatokat, így szabályozhatja a kulcs életciklusát, és visszavonhatja az adatokhoz való hozzáférést. Az Azure Monitor titkosítási használata megegyezik az Azure Storage-titkosítás működésével.

Az ügyfél által felügyelt kulcs dedikált fürtökön érhető el , amelyek magasabb szintű védelmet és felügyeletet biztosítanak. Az adatok kétszer titkosítva lesznek a tárolóban, egyszer a szolgáltatás szintjén a Microsoft által felügyelt kulcsok vagy az ügyfél által felügyelt kulcsok használatával, egyszer pedig az infrastruktúra szintjén, két különböző titkosítási algoritmus és két különböző kulcs használatával. A kettős titkosítás védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs megsérülhet. A dedikált fürt lehetővé teszi az adatok védelmét a Lockbox használatával is.

A lekérdezések hatékonysága érdekében az elmúlt 14 napban betöltött vagy a lekérdezésekben legutóbb használt adatok gyakran használt gyorsítótárban (SSD-háttérrel) lesznek tárolva. Az SSD-adatok az ügyfél által felügyelt kulcskonfigurációtól függetlenül Microsoft-kulcsokkal titkosítva lesznek, de az SSD-hozzáférés vezérlése a kulcsok visszavonásához igazodik

A Dedikált Log Analytics-fürtök tarifamodellje napi 100 GB-tól kezdődő kötelezettségvállalási szintet igényel.

Az ügyfél által felügyelt kulcs működése az Azure Monitorban

Az Azure Monitor felügyelt identitással biztosít hozzáférést az Azure Key Vaulthoz. A Log Analytics-fürt identitása a fürt szintjén támogatott. Ha több munkaterületen szeretné engedélyezni az ügyfél által felügyelt kulcsot, egy Log Analytics-fürterőforrás köztes identitáskapcsolatként végzi a Key Vault és a Log Analytics-munkaterületek közötti kapcsolatot. A fürt tárolója a fürthöz társított felügyelt identitást használja az Azure Key Vaultban való hitelesítéshez a Microsoft Entra ID-val.

A fürtök két felügyelt identitástípust támogatnak: a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitást, míg egy adott identitás a forgatókönyvtől függően definiálható egy fürtben.

• A rendszer által hozzárendelt felügyelt identitás egyszerűbb, és automatikusan létrejön a fürt létrehozásával, amikor az identitás type "SystemAssigned" értékre van állítva. Ez az identitás később használható a Key Vaulthoz való hozzáférés biztosításához a körbefuttatási és a tördelés nélküli műveletekhez.
• A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi az ügyfél által felügyelt kulcs konfigurálását a fürt létrehozásakor, amikor engedélyeket ad a Key Vaultban a fürt létrehozása előtt.

Az ügyfél által felügyelt kulcskonfigurációt alkalmazhatja egy új fürtre, vagy a munkaterületekhez és az adatok betöltéséhez kapcsolódó meglévő fürtökre. A csatolt munkaterületekre betöltött új adatok titkosítva lesznek a kulccsal, a konfiguráció előtt betöltött régebbi adatok pedig Microsoft-kulccsal titkosítva maradnak. A lekérdezéseket nem érintik az ügyfél által felügyelt kulcskonfigurációk, és zökkenőmentesen hajtják végre a régi és az új adatok között. A munkaterületeket bármikor leválaszthatja a fürtről. A leválasztási kapcsolat Microsoft-kulccsal történő titkosítása után új adatok kerülnek betöltésre, és a lekérdezések zökkenőmentesen hajthatók végre a régi és az új adatok között.

Fontos

Az ügyfél által felügyelt kulcsképesség regionális. Az Azure Key Vaultnak, a fürtnek és a csatolt munkaterületeknek ugyanabban a régióban kell lenniük, de különböző előfizetésekben lehetnek.

1. Key Vault
2. Log Analytics-fürterőforrás, amely rendelkezik a Key Vault engedélyeivel rendelkező felügyelt identitással – Az identitás propagálása az aláfedt dedikált fürttárolóba történik
3. Dedikált fürt
4. Dedikált fürthöz társított munkaterületek

Titkosítási kulcsok művelete

A Storage-adattitkosítás háromféle kulcstípust érint:

• "KEK" – Kulcstitkosítási kulcs (az ügyfél által felügyelt kulcs)
• "AEK" – Fióktitkosítási kulcs
• "DEK" – Adattitkosítási kulcs

Az alábbi szabályokat kell betartani:

• A fürttároló minden tárfiókhoz egyedi titkosítási kulccsal rendelkezik, amelyet "AEK"-nek neveznek.
• Az "AEK" a "DEK-k" származtatására szolgál, amelyek a lemezre írt adatblokkok titkosításához használt kulcsok.
• Amikor konfigurál egy kulcsot a Key Vaultban, és frissítette a fürt kulcsadatait, a fürttároló "wrap" és "unwrap" "AEK" kéréseket hajt végre a titkosításhoz és a visszafejtéshez.
• A "KEK" soha nem hagyja el a Key Vaultot, és felügyelt "HSM" esetén soha nem hagyja el a hardvert.
• Az Azure Storage a fürterőforráshoz társított felügyelt identitást használja a hitelesítéshez. Az Azure Key Vaultot a Microsoft Entra-azonosítón keresztül éri el.

Ügyfél által felügyelt kulcs kiépítési lépései

1. Azure Key Vault létrehozása és kulcs tárolása
2. Fürt létrehozása
3. Engedélyek megadása a Key Vaulthoz
4. Fürt frissítése a kulcsazonosító részleteivel
5. Munkaterületek összekapcsolása

Az ügyfél által felügyelt kulcskonfiguráció jelenleg nem támogatott az Azure Portalon, és a kiépítés PowerShell-, PARANCSSOR- vagy REST-kérésekkel is elvégezhető.

Titkosítási kulcs ("KEK") tárolása

Az Azure Key Management-termékek portfóliója felsorolja a használható tárolókat és felügyelt HSM-eket.

Hozzon létre vagy használjon egy meglévő Azure Key Vaultot abban a régióban, amelyben a fürt megtervezve van. A Key Vaultban hozzon létre vagy importáljon egy naplók titkosításához használandó kulcsot. Az Azure Key Vaultot helyreállíthatóként kell konfigurálni, hogy megvédje a kulcsot és az adatokhoz való hozzáférést az Azure Monitorban. Ezt a konfigurációt a Key Vault tulajdonságai között ellenőrizheti, a helyreállítható törlés és a törlés elleni védelmet is engedélyezni kell.

Ezek a beállítások cli-vel és PowerShell-lel frissíthetők a Key Vaultban:

• Helyreállítható törlés
• Védelmi őrök törlése a titkos kód kényszerítése ellen, a tároló a helyreállítható törlés után is

Fürt létrehozása

A fürtök felügyelt identitást használnak a Key Vaulttal való adattitkosításhoz. Konfigurálja az identitástulajdonságot type úgy, hogy SystemAssigned a fürt létrehozásakor engedélyezze a Key Vaulthoz való hozzáférést a "wrap" és a "unwrap" műveletekhez.

Identitásbeállítások a fürtben a rendszer által hozzárendelt felügyelt identitáshoz

{
  "identity": {
    "type": "SystemAssigned"
    }
}

Kövesse a Dedikált fürtök cikkben bemutatott eljárást.

Key Vault-engedélyek megadása

A Key Vaultban két engedélymodell van a fürthöz és az aláfedő tárhoz való hozzáférés biztosítására– Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) és a tároló hozzáférési szabályzatai (örökölt).

1. Ön által vezérelhető Azure RBAC hozzárendelése (ajánlott)

   Szerepkör-hozzárendelések hozzáadásához Microsoft.Authorization/roleAssignments/write és Microsoft.Authorization/roleAssignments/delete engedélyekkel kell rendelkeznie, például felhasználói hozzáférés Rendszergazda istrator vagy tulajdonos.

   Nyissa meg a Key Vaultot az Azure Portalon, kattintson az Access-konfigurációra a Gépház, és válassza az Azure szerepköralapú hozzáférés-vezérlési lehetőséget. Ezután adja meg a hozzáférés-vezérlést (IAM), és adja hozzá a Key Vault crypto service encryption felhasználói szerepkör-hozzárendelését.

   

2. Tárolóelérési szabályzat hozzárendelése (örökölt)

   Nyissa meg a Key Vaultot az Azure Portalon, és kattintson a Hozzáférési szabályzatok elemre, válassza a Tároló hozzáférési szabályzatát, majd a + Hozzáférési szabályzat hozzáadása gombra kattintva hozzon létre egy szabályzatot az alábbi beállításokkal:

   • Kulcsengedélyek – válassza a Kulcs lekérése, körbefuttatása és a Kulcs kibontása lehetőséget.
   • Válassza ki az egyszerűt – a fürtben használt identitástípustól függően (rendszer vagy felhasználó által hozzárendelt felügyelt identitás)
     • Rendszer által hozzárendelt felügyelt identitás – adja meg a fürt nevét vagy a fürt egyszerű azonosítóját
     • Felhasználó által hozzárendelt felügyelt identitás – adja meg az identitás nevét

   

   A Get engedély szükséges annak ellenőrzéséhez, hogy a Key Vault helyreállíthatóként van-e konfigurálva a kulcs és az Azure Monitor-adatokhoz való hozzáférés védelme érdekében.

Fürt frissítése a kulcsazonosító részleteivel

A fürt minden műveletéhez szükség van a művelet engedélyére Microsoft.OperationalInsights/clusters/write . Ezt az engedélyt a műveletet tartalmazó */write tulajdonoson vagy közreműködőn keresztül, vagy a műveletet tartalmazó Microsoft.OperationalInsights/* Log Analytics-közreműködői szerepkörön keresztül lehet megadni.

Ez a lépés frissíti a dedikált fürttárolót az "AEK" körbefuttatásához és kibontásához használandó kulccsal és verzióval.

Fontos

• A kulcsforgatás lehet automatikus vagy explicit kulcsfrissítést igényel. A kulcsforgatásról a fürt kulcsazonosítóinak frissítése előtt talál megfelelő megközelítést.
• A fürtfrissítés nem tartalmazhat identitás- és kulcsazonosító-adatokat ugyanabban a műveletben. Ha mindkettőt frissítenie kell, a frissítésnek két egymást követő műveletben kell lennie.

Frissítse a KeyVaultProperties szolgáltatást a fürtben a kulcsazonosító részleteivel.

A művelet aszinkron, és eltarthat egy ideig.

Azure Portal

n/a

Azure CLI

A "'" érték key-versionmegadásakor a fürt mindig a Key Vault utolsó kulcsverzióját használja, és nincs szükség a fürt frissítésére a kulcsváltás után.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

PowerShell

A "'" érték KeyVersionmegadásakor a fürt mindig a Key Vault utolsó kulcsverzióját használja, és nincs szükség a fürt frissítésére a kulcsváltás után.

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

REST

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2022-10-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": "current-version"
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

Válasz

A kulcs propagálása egy ideig tart. A frissítési állapot ellenőrzéséhez küldjön GET kérést a fürtre, és tekintse meg a KeyVaultProperties tulajdonságait. A nemrég frissített kulcsnak vissza kell térnie a válaszban.

Válasz a GET kérésre a kulcsfrissítés befejezésekor: 202 (Elfogadva) és fejléc

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": "current-version"
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Munkaterület csatolása fürthöz

Fontos

Ezt a lépést csak a fürt kiépítése után szabad végrehajtani. Ha a kiépítés előtt összekapcsolja a munkaterületeket és betölti az adatokat, a rendszer elveti a betöltött adatokat, és nem lesz helyreállítható.

A művelet végrehajtásához "írási" engedélyekkel kell rendelkeznie a munkaterületen és a fürtön. Microsoft.OperationalInsights/workspaces/write Tartalmazza és Microsoft.OperationalInsights/clusters/write.

Kövesse a Dedikált fürtök cikkben bemutatott eljárást.

Kulcs visszavonása

Fontos

• Az adatokhoz való hozzáférés visszavonásának ajánlott módja a kulcs letiltása vagy a Hozzáférési szabályzat törlése a Key Vaultban.
• Ha úgy állítja identitytype be a fürtöt, hogy None az az adatokhoz való hozzáférést is visszavonja, ez a módszer nem ajánlott, mivel nem állíthatja vissza anélkül, hogy kapcsolatba lép a támogatási szolgálattal.

A fürttároló egy vagy több órán belül mindig tiszteletben tartja a kulcsengedélyek változásait, és a tárterület elérhetetlenné válik. A csatolt munkaterületekre betöltött új adatok el lesznek dobva, és nem állíthatók helyre. Az adatok nem érhetők el ezeken a munkaterületeken, és a lekérdezések sikertelenek. A korábban betöltött adatok mindaddig tárolóban maradnak, amíg a fürt és a munkaterületek nem törlődnek. A nem elérhető adatokat az adatmegőrzési szabályzat szabályozza, és a megőrzés elérésekor törlődnek. Az elmúlt 14 napban betöltött adatok és a lekérdezésekben legutóbb használt adatok is gyakran használt gyorsítótárban (SSD-háttérrel) maradnak a lekérdezések hatékonysága érdekében. Az SSD-n lévő adatok törlődnek a kulcsvisszahívási művelet során, és elérhetetlenné válnak. A fürttároló rendszeresen megpróbálja elérni a Key Vaultot a körbefuttatáshoz és a kicsomagoláshoz, és ha a kulcs engedélyezve van, a kiírás sikeres lesz, az SSD-adatok újratöltődnek a tárolóból, az adatbetöltés és a lekérdezés pedig 30 percen belül folytatódik.

Kulcsrotálás

A kulcsforgatásnak két módja van:

• Autorotation – frissítse a fürtöt "keyVaultProperties" , de kihagyja "keyVersion" a tulajdonságot, vagy állítsa be a következőre "": . A Storage automatikusan a legújabb kulcsverziót használja.
• Explicit kulcsverzió frissítése – frissítse a fürtöt a tulajdonság kulcsverziójával "keyVersion" . A kulcsok elforgatásához explicit "keyVaultProperties" frissítés szükséges a fürtben, lásd: Fürt frissítése kulcsazonosító részleteivel. Ha új kulcsverziót hoz létre a Key Vaultban, de nem frissíti a fürtben, a fürttároló továbbra is az előző kulcsot használja. Ha a fürt új kulcsának frissítése előtt letiltja vagy törli a régi kulcsot, kulcsvisszavonási állapotba kerül.

A kulcsforgatási művelet után az összes adat elérhető marad. Az adatok mindig az "AEK" fióktitkosítási kulccsal titkosítva lesznek, amely a Key Vault új kulcstitkosítási kulcsának ("KEK") verziójával van titkosítva.

Ügyfél által felügyelt kulcs mentett lekérdezésekhez és naplókeresési riasztásokhoz

A Log Analyticsben használt lekérdezési nyelv kifejező jellegű, és bizalmas információkat tartalmazhat a megjegyzésekben vagy a lekérdezés szintaxisában. Egyes szervezetek megkövetelik, hogy az ügyfél által felügyelt kulcsházirendben védve legyenek ezek az információk, és a kulcsával titkosított lekérdezéseket kell menteni. Az Azure Monitor lehetővé teszi a mentett lekérdezések és naplókeresési riasztások tárolását a kulcsával titkosítva a saját tárfiókjában, amikor a munkaterülethez kapcsolódik.

Ügyfél által felügyelt kulcs munkafüzetekhez

A mentett lekérdezések és naplókeresési riasztások ügyfél által felügyelt kulcsával az Azure Monitor lehetővé teszi a kulccsal titkosított munkafüzet-lekérdezések tárolását a saját tárfiókjában, amikor a Tartalom mentése azure-tárfiókba lehetőséget választja a "Mentés" munkafüzetben.

Feljegyzés

A lekérdezések titkosítva maradnak a Microsoft-kulccsal ("MMK") az ügyfél által felügyelt kulcskonfigurációtól függetlenül: Azure-irányítópultok, Azure Logic App, Azure Notebooks és Automation Runbookok.

A tárfiók mentett lekérdezésekhez való csatolásakor a szolgáltatás tárolja a mentett lekérdezéseket és a naplókeresési riasztási lekérdezéseket a Tárfiókban. A tárfiók inaktív állapotú titkosítási szabályzatának szabályozásával ügyfél által felügyelt kulccsal védheti a mentett lekérdezéseket és naplókeresési riasztásokat. Ön lesz azonban a felelős az adott tárfiókhoz kapcsolódó költségekért.

Megfontolandó szempontok az ügyfél által felügyelt kulcs lekérdezésekhez való beállítása előtt

• "Írási" engedélyekkel kell rendelkeznie a munkaterületen és a tárfiókban.
• Győződjön meg arról, hogy a Tárfiókot ugyanabban a régióban hozza létre, amelyben a Log Analytics-munkaterület található, ügyfél által felügyelt kulcstitkosítással. Ez azért fontos, mert a mentett lekérdezések táblatárolóban vannak tárolva, és csak a tárfiók létrehozásakor titkosíthatók.
• A lekérdezéscsomagban mentett lekérdezések nincsenek ügyfél által felügyelt kulccsal titkosítva. Válassza a Mentés örökölt lekérdezésként lehetőséget a lekérdezések mentésekor az ügyfél által felügyelt kulccsal való védelemhez.
• A tárolóba mentett lekérdezések szolgáltatásösszetevőknek minősülnek, és formátumuk változhat.
• A tárfiók lekérdezésekhez való csatolása eltávolítja a meglévő mentési lekérdezéseket a munkaterületről. A másolás a konfiguráció előtt szükséges lekérdezéseket menti. A mentett lekérdezéseket a PowerShell használatával tekintheti meg.
• A lekérdezések "előzményei" és a "rögzítés az irányítópulton" nem támogatottak a Storage-fiók lekérdezésekhez való összekapcsolásakor.
• Egyetlen tárfiókot egy munkaterülethez csatolhat a mentett lekérdezésekhez és a naplókeresési riasztási lekérdezésekhez.
• A naplókeresési riasztások blobtárolóba vannak mentve, és az ügyfél által felügyelt kulcstitkosítás konfigurálható a tárfiók létrehozásakor vagy később.
• Az aktivált naplókeresési riasztások nem tartalmaznak keresési eredményeket vagy riasztási lekérdezést. A riasztási dimenziókkal kontextust kaphat az aktivált riasztásokban.

BYOS konfigurálása mentett lekérdezésekhez

Csatoljon egy tárfiókot a lekérdezésekhez, hogy a mentett lekérdezések megmaradjanak a tárfiókban.

Azure Portal

n/a

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

PowerShell

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

A konfiguráció után a rendszer minden új mentett keresési lekérdezést a tárba ment.

BYOS konfigurálása naplókeresési riasztási lekérdezésekhez

Csatoljon egy tárfiókot a riasztásokhoz, hogy a naplókeresési riasztások lekérdezései megmaradjanak a tárfiókban.

Azure Portal

n/a

Azure CLI

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

PowerShell

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

REST

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

A konfiguráció után a rendszer menti az új riasztási lekérdezéseket a tárolóba.

Ügyfélszéf

A Lockbox lehetővé teszi, hogy jóváhagyja vagy elutasítsa a Microsoft mérnökének az adatokhoz való hozzáférésre vonatkozó kérését egy támogatási kérelem során.

A lockbox az Azure Monitor dedikált fürtjében van megadva, ahol az adatok elérésére vonatkozó engedély az előfizetés szintjén van megadva.

További információ a Microsoft Azure-hoz készült Ügyfélzárolásról

Ügyfél által felügyelt kulcsműveletek

Az ügyfél által felügyelt kulcs dedikált fürtön érhető el, és ezekre a műveletekre a dedikált fürtről szóló cikkben hivatkozunk.

• Az összes fürt lekérése az erőforráscsoportban
• Az összes fürt lekérése előfizetésben
• Kapacitásfoglalás frissítése a fürtben
• BillingType frissítése a fürtben
• Munkaterület leválasztása fürtről
• A fürt törlése

Korlátozások és megkötések

• Az egyes régiókban és előfizetésekben legfeljebb öt aktív fürt hozható létre.

• Legfeljebb hét fenntartott fürt (aktív vagy nemrég törölt) létezhet az egyes régiókban és előfizetésekben.

• Egy fürthöz legfeljebb 1000 Log Analytics-munkaterület csatolható.

• Egy adott munkaterületen legfeljebb két munkaterület-kapcsolati művelet engedélyezett 30 nap alatt.

• A fürtök áthelyezése egy másik erőforráscsoportba vagy előfizetésbe jelenleg nem támogatott.

• A fürtfrissítés nem tartalmazhat identitás- és kulcsazonosító-adatokat ugyanabban a műveletben. Ha mindkettőt frissítenie kell, a frissítésnek két egymást követő műveletben kell lennie.

• A Lockbox jelenleg nem érhető el Kínában.

• A dupla titkosítás automatikusan konfigurálva van a 2020 októberétől a támogatott régiókban létrehozott fürtökhöz. Ellenőrizze, hogy a fürt kettős titkosításra van-e konfigurálva, ha get kérést küld a fürtre, és megfigyeli, hogy az isDoubleEncryptionEnabled érték a kettős titkosítást használó fürtök esetében van-e true engedélyezve.

  • Ha létrehoz egy fürtöt, és hibaüzenetet kap – "a régiónév nem támogatja a fürtök dupla titkosítását", akkor is létrehozhatja a fürtöt dupla titkosítás nélkül, ha hozzáadja "properties": {"isDoubleEncryptionEnabled": false} a REST-kérelem törzséhez.
  • A kettős titkosítási beállítások nem módosíthatók a fürt létrehozása után.

A csatolt munkaterület törlése a fürthöz csatolva engedélyezett. Ha úgy dönt, hogy helyreállítja a munkaterületet a helyreállítható törlési időszakban, az visszaáll az előző állapotra, és a fürthöz lesz csatolva.

• Az ügyfél által felügyelt kulcstitkosítás az újonnan betöltött adatokra vonatkozik a konfigurációs idő után. A konfiguráció előtt betöltött adatok a Microsoft-kulccsal titkosítva maradnak. Az ügyfél által felügyelt kulcskonfiguráció előtt és után betöltött adatokat zökkenőmentesen kérdezheti le.

• Az Azure Key Vaultot helyreállíthatóként kell konfigurálni. Ezek a tulajdonságok alapértelmezés szerint nincsenek engedélyezve, és parancssori felülettel vagy PowerShell-lel kell konfigurálni:
  

  • Helyreállítható törlés.
  • A törlés elleni védelmet be kell kapcsolni, hogy védelmet nyújtsunk a titkos kulcs kényszerített törlésének ellen, még a helyreállítható törlés után is.

• Az Azure Key Vaultnak, a fürtnek és a munkaterületeknek ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lenniük, de különböző előfizetésekben lehetnek.

• Ha úgy állítja identitytype be a fürtöt, hogy None az az adatokhoz való hozzáférést is visszavonja, ez a módszer nem ajánlott, mivel nem állíthatja vissza anélkül, hogy kapcsolatba lép a támogatási szolgálattal. Az adatokhoz való hozzáférés visszavonásának ajánlott módja a kulcs visszavonása.

• Nem használhat ügyfél által felügyelt kulcsot felhasználó által hozzárendelt felügyelt identitással, ha a Key Vault privát kapcsolaton (vNet) található. Ebben a forgatókönyvben a rendszer által hozzárendelt felügyelt identitást használhatja.

• A keresési feladatok aszinkron lekérdezései jelenleg nem támogatottak az ügyfél által felügyelt kulcsforgatókönyvekben.

Hibaelhárítás

• A Key Vault rendelkezésre állásának viselkedése:

  • Normál művelet – a tároló rövid ideig gyorsítótárazza az "AEK"-t, és visszatér a Key Vaulthoz, hogy rendszeresen kicsomagolhassa.

  • A Key Vault csatlakozási hibái – a tároló kezeli az átmeneti hibákat (időtúllépések, kapcsolati hibák, "DNS" problémák) azáltal, hogy lehetővé teszi a kulcsok gyorsítótárban maradását a rendelkezésre állási probléma során, és kiküszöböli a három pontot és a rendelkezésre állással kapcsolatos problémákat. A lekérdezési és betöltési képességek megszakítás nélkül folytatódnak.

• Key Vault-hozzáférési sebesség – 6–60 másodperc között van az a gyakoriság, amikor az Azure a fürttároló hozzáfér a Key Vaulthoz a körbefuttatáshoz és a kicsomagoláshoz.

• Ha a fürt kiépítési vagy frissítési állapotban van, a frissítés sikertelen lesz.

• Ha ütközést tapasztal – hiba történt egy fürt létrehozásakor, előfordulhat, hogy az azonos nevű fürtöt törölték az elmúlt 14 napban, és fenntartották. A törölt fürt neve a törlés után 14 nappal válik elérhetővé.

• A fürtre mutató munkaterület-hivatkozás meghiúsul, ha egy másik fürthöz van csatolva.

• Ha létrehoz egy fürtöt, és azonnal megadja a KeyVaultProperties értéket, a művelet meghiúsulhat, amíg az identitás nincs hozzárendelve a fürthöz, és a Key Vaultban meg nem adja.

• Ha a keyVaultProperties szolgáltatással frissíti a meglévő fürtöt, és a Key Vaultban hiányzik a "Get" kulcselérési szabályzat, a művelet meghiúsul.

• Ha nem tudja üzembe helyezni a fürtöt, ellenőrizze, hogy az Azure Key Vault, a fürt és a csatolt munkaterületek ugyanabban a régióban találhatók-e. Az előfizetések különböző előfizetésekben lehetnek.

• Ha elforgatja a kulcsot a Key Vaultban, és nem frissíti a fürt új kulcsazonosítójának részleteit, a fürt továbbra is az előző kulcsot használja, és az adatok elérhetetlenné válnak. Frissítse a fürt új kulcsazonosító-adatait az adatbetöltés és a lekérdezés folytatásához. Frissítheti a kulcsverziót a "'"-vel, hogy a tár mindig automatikusan használja a lates kulcsverziót.

• Egyes műveletek hosszú ideig futnak, és eltarthat egy ideig, például a fürt létrehozása, a fürtkulcs frissítése és a fürt törlése. A művelet állapotának ellenőrzéséhez küldje el a GET kérést a fürtnek vagy a munkaterületnek, és figyelje meg a választ. A leválasztott munkaterületen például nem található meg a clusterResourceId a szolgáltatások alatt.

• Hibaüzenetek

  Fürtfrissítés

  • 400 – A fürt törlési állapotban van. Az aszinkron művelet folyamatban van. A fürtnek a frissítési művelet végrehajtása előtt végre kell hajtania a műveletet.
  • 400 – A KeyVaultProperties nem üres, de rossz formátumú. Lásd a kulcsazonosító frissítését.
  • 400 – Nem sikerült érvényesíteni a kulcsokat a Key Vaultban. Lehet, hogy az engedélyek hiánya vagy a kulcs nem létezik. Ellenőrizze, hogy beállította-e a kulcs- és hozzáférési szabályzatot a Key Vaultban.
  • 400 – A kulcs nem állítható helyre. A Key Vaultot helyreállítható törlésre és törlésre kell állítani. Lásd a Key Vault dokumentációját
  • 400 – A művelet most nem hajtható végre. Várja meg, amíg az Async művelet befejeződik, és próbálkozzon újra.
  • 400 – A fürt törlési állapotban van. Várja meg, amíg az Async művelet befejeződik, és próbálkozzon újra.

  Fürt lekérése

  • 404 – A fürt nem található, lehetséges, hogy törölték a fürtöt. Ha ilyen nevű fürtöt próbál létrehozni, és ütközést kap, a fürt törlési folyamatban van.

Következő lépések

• Tudnivalók a Dedikált Log Analytics-fürt számlázásáról
• Tudnivalók a Log Analytics-munkaterületek megfelelő kialakításáról