Registrazione dell'insieme di credenziali delle chiavi di AzureAzure Key Vault Logging

L'insieme di credenziali delle chiavi di Azure è disponibile nella maggior parte delle aree.Azure Key Vault is available in most regions. Per altre informazioni, vedere la pagina Insieme di credenziali delle chiavi - Prezzi.For more information, see the Key Vault pricing page.

IntroduzioneIntroduction

Dopo aver creato una o più credenziali delle chiavi, può essere utile monitorare come, quando e da chi vengono usate.After you have created one or more key vaults, you will likely want to monitor how and when your key vaults are accessed, and by whom. A questo scopo è possibile abilitare la registrazione per l'insieme di credenziali delle chiavi, che salva le informazioni in un account di archiviazione di Azure specificato.You can do this by enabling logging for Key Vault, which saves information in an Azure storage account that you provide. Per tale account di archiviazione viene creato automaticamente un contenitore denominato insights-log-auditevent , che può essere usato per raccogliere i log relativi a più insiemi di credenziali delle chiavi.A new container named insights-logs-auditevent is automatically created for your specified storage account, and you can use this same storage account for collecting logs for multiple key vaults.

È possibile accedere alle informazioni di registrazione dopo un massimo di 10 minuti dall'operazione sull'insieme di credenziali delle chiavi,You can access your logging information at most, 10 minutes after the key vault operation. ma nella maggior parte dei casi si potrà farlo prima.In most cases, it will be quicker than this. La gestione dei log nell'account di archiviazione è compito dell'utente:It's up to you to manage your logs in your storage account:

  • Usare i metodi di controllo di accesso standard di Azure per proteggere i log limitando l'accesso agli utenti specificati.Use standard Azure access control methods to secure your logs by restricting who can access them.
  • Eliminare i log che non è più necessario mantenere nell'account di archiviazione.Delete logs that you no longer want to keep in your storage account.

Usare questa esercitazione per un'introduzione all'uso della registrazione dell'insieme di credenziali delle chiavi di Azure, per creare l'account di archiviazione, abilitare la registrazione e interpretare le informazioni di registrazione raccolte.Use this tutorial to help you get started with Azure Key Vault logging, to create your storage account, enable logging, and interpret the logging information collected.

Nota

Questa esercitazione non include istruzioni per la creazione di insiemi di credenziali delle chiavi, chiavi o segreti.This tutorial does not include instructions for how to create key vaults, keys, or secrets. Per altre informazioni, vedere Introduzione all'insieme di credenziali delle chiavi di Azure.For this information, see Get started with Azure Key Vault. In alternativa, per le istruzioni relative all'interfaccia della riga di comando multipiattaforma, vedere questa esercitazione equivalente.Or, for Cross-Platform Command-Line Interface instructions, see this equivalent tutorial.

Attualmente non è possibile configurare l'insieme di credenziali delle chiavi di Azure nel portale di Azure.Currently, you cannot configure Azure Key Vault in the Azure portal. Usare invece queste istruzioni per Azure PowerShell.Instead, use these Azure PowerShell instructions.

Per informazioni generali sull'insieme di credenziali di Azure, vedere Cos'è l'insieme di credenziali chiave di Azure?For overview information about Azure Key Vault, see What is Azure Key Vault?

PrerequisitiPrerequisites

Per completare l'esercitazione, sono necessari gli elementi seguenti:To complete this tutorial, you must have the following:

  • Insieme di credenziali delle chiavi esistente e già in uso.An existing key vault that you have been using.
  • Azure PowerShell versione minima 1.0.1.Azure PowerShell, minimum version of 1.0.1. Per installare Azure PowerShell e associarlo alla sottoscrizione di Azure, vedere Come installare e configurare Azure PowerShell.To install Azure PowerShell and associate it with your Azure subscription, see How to install and configure Azure PowerShell. Se Azure PowerShell è già stato installato ma non si conosce la versione, dalla console di Azure PowerShell digitare (Get-Module azure -ListAvailable).Version.If you have already installed Azure PowerShell and do not know the version, from the Azure PowerShell console, type (Get-Module azure -ListAvailable).Version.
  • Spazio di archiviazione sufficiente in Azure per i log dell'insieme di credenziali delle chiavi.Sufficient storage on Azure for your Key Vault logs.

Connettersi alle sottoscrizioniConnect to your subscriptions

Avviare una sessione di Azure PowerShell e accedere all'account Azure con il comando seguente:Start an Azure PowerShell session and sign in to your Azure account with the following command:

Login-AzureRmAccount

Nella finestra del browser a comparsa, immettere il nome utente e la password dell'account Azure.In the pop-up browser window, enter your Azure account user name and password. Azure PowerShell recupera tutte le sottoscrizioni associate a questo account e, per impostazione predefinita, usa la prima.Azure PowerShell will get all the subscriptions that are associated with this account and by default, uses the first one.

Se sono disponibili più sottoscrizioni, potrebbe essere necessario indicarne una specifica usata per creare l'insieme di credenziali delle chiavi di Azure.If you have multiple subscriptions, you might have to specify a specific one that was used to create your Azure Key Vault. Digitare il comando seguente per visualizzare le sottoscrizioni relative all'account:Type the following to see the subscriptions for your account:

Get-AzureRmSubscription

Per specificare quindi la sottoscrizione associata all'insieme di credenziali delle chiavi da registrare, digitare:Then, to specify the subscription that's associated with your key vault you will be logging, type:

Set-AzureRmContext -SubscriptionId <subscription ID>

Nota

Si tratta di un passaggio importante e risulta particolarmente utile se si hanno più sottoscrizioni associate all'account.This is an important step and especially helpful if you have multiple subscriptions associated with your account. Se questo passaggio viene ignorato potrebbe essere visualizzato un messaggio di errore che chiede di eseguire la registrazione di Microsoft.Insights.You may receive an error to register Microsoft.Insights if this step is skipped.

Per altre informazioni sulla configurazione di Azure PowerShell, vedere Come installare e configurare Azure PowerShell.For more information about configuring Azure PowerShell, see How to install and configure Azure PowerShell.

Creare un nuovo account di archiviazione per i logCreate a new storage account for your logs

Anche se è possibile usare un account di archiviazione esistente per i log, si creerà un nuovo account di archiviazione dedicato ai log dell'insieme di credenziali delle chiavi.Although you can use an existing storage account for your logs, we'll create a new storage account that will be dedicated to Key Vault logs. Per praticità, si archivieranno i dettagli in una variabile denominata sa, in modo che siano disponibili quando sarà necessario specificarli in seguito.For convenience for when we have to specify this later, we'll store the details into a variable named sa.

Per rendere la gestione ancora più facile, si userà anche lo stesso gruppo di risorse che contiene l'insieme di credenziali delle chiavi.For additional ease of management, we'll also use the same resource group as the one that contains our key vault. Dall' esercitazione introduttivaquesto gruppo di risorse è denominato ContosoResourceGroup e si continuerà a usare l'area geografica East Asia.From the getting started tutorial, this resource group is named ContosoResourceGroup and we'll continue to use the East Asia location. Sostituire questi valori con i propri, a seconda dei casi:Substitute these values for your own, as applicable:

$sa = New-AzureRmStorageAccount -ResourceGroupName ContosoResourceGroup -Name contosokeyvaultlogs -Type Standard_LRS -Location 'East Asia'

Nota

Se si sceglie di usare un account di archiviazione esistente, questo dovrà usare la stessa sottoscrizione dell'insieme di credenziali delle chiavi e il modello di distribuzione Resource Manager, anziché il modello di distribuzione classica.If you decide to use an existing storage account, it must use the same subscription as your key vault and it must use the Resource Manager deployment model, rather than the Classic deployment model.

Identificare l'insieme di credenziali delle chiavi per i logIdentify the key vault for your logs

Nell'esercitazione introduttiva, il nome dell'insieme di credenziali delle chiavi è ContosoKeyVault, quindi si continuerà a usarlo e si archivieranno i dettagli in una variabile denominata kv:In our getting started tutorial, our key vault name was ContosoKeyVault, so we'll continue to use that name and store the details into a variable named kv:

$kv = Get-AzureRmKeyVault -VaultName 'ContosoKeyVault'

Abilitare la registrazioneEnable logging

Per abilitare la registrazione dell'insieme di credenziali delle chiavi, si userà il cmdlet Set-AzureRmDiagnosticSetting e le variabili create per il nuovo account di archiviazione e l'insieme di credenziali delle chiavi.To enable logging for Key Vault, we'll use the Set-AzureRmDiagnosticSetting cmdlet, together with the variables we created for our new storage account and our key vault. Il flag -Enabled verrà impostato su $true e la categoria su AuditEvent, la sola disponibile per la registrazione dell'insieme di credenziali delle chiavi:We'll also set the -Enabled flag to $true and set the category to AuditEvent (the only category for Key Vault logging), :

Set-AzureRmDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $true -Categories AuditEvent

L'output includerà:The output for this includes:

StorageAccountId   : /subscriptions/<subscription-GUID>/resourceGroups/ContosoResourceGroup/providers/Microsoft.Storage/storageAccounts/ContosoKeyVaultLogs
ServiceBusRuleId   :
StorageAccountName :
    Logs
    Enabled           : True
    Category          : AuditEvent
    RetentionPolicy
    Enabled : False
    Days    : 0

Conferma che la registrazione è abilitata per l'insieme di credenziali delle chiavi. Le informazioni vengono salvate nell'account di archiviazione.This confirms that logging is now enabled for your key vault, saving information to your storage account.

Facoltativamente è possibile impostare criteri di conservazione per i log, in modo che i log meno recenti vengano eliminati automaticamente.Optionally you can also set retention policy for your logs such that older logs will be automatically deleted. Ad esempio, specificare i criteri di conservazione impostando il flag -RetentionEnabled su $true e il parametro -RetentionInDays su 90 per fare in modo che i log che risalgono a più di 90 giorni prima vengano eliminati automaticamente.For example, set retention policy using -RetentionEnabled flag to $true and set -RetentionInDays parameter to 90 so that logs older than 90 days will be automatically deleted.

Set-AzureRmDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $true -Categories AuditEvent -RetentionEnabled $true -RetentionInDays 90

Informazioni registrate:What's logged:

  • Vengono registrate tutte le richieste API REST autenticate, incluse le richieste non riuscite a causa di autorizzazioni di accesso, errori di sistema o richieste non valide.All authenticated REST API requests are logged, which includes failed requests as a result of access permissions, system errors or bad requests.
  • Operazioni sull'insieme di credenziali delle chiavi stesso, ad esempio creazione, eliminazione e impostazione di criteri di accesso all'insieme di credenziali delle chiavi, nonché aggiornamento degli attributi dell'insieme di credenziali delle chiavi, quali i tag.Operations on the key vault itself, which includes creation, deletion, setting key vault access policies, and updating key vault attributes such as tags.
  • Operazioni su chiavi e segreti nell'insieme di credenziali delle chiavi, ad esempio creazione, modifica o eliminazione di chiavi o segreti. Operazioni quali accesso, verifica, crittografia, decrittografia, esecuzione e annullamento del wrapping delle chiavi, recupero di segreti, nonché elenco di chiavi e segreti e delle relative versioni.Operations on keys and secrets in the key vault, which includes creating, modifying, or deleting these keys or secrets; operations such as sign, verify, encrypt, decrypt, wrap and unwrap keys, get secrets, list keys and secrets and their versions.
  • Richieste non autenticate che generano una risposta 401.Unauthenticated requests that result in a 401 response. Ad esempio, richieste che non hanno un token di connessione, hanno un formato non valido, sono scadute o hanno un token non valido.For example, requests that do not have a bearer token, or are malformed or expired, or have an invalid token.

Accedere ai logAccess your logs

I log dell'insieme di credenziali delle chiavi vengono archiviati nel contenitore insights-log-auditevent nell'account di archiviazione specificato.Key vault logs are stored in the insights-logs-auditevent container in the storage account you provided. Per elencare tutti i BLOB in questo contenitore, digitare:To list all the blobs in this container, type:

Creare prima una variabile per il nome contenitore.First, create a variable for the container name. Questa variabile verrà usata nel resto della procedura dettagliata.This will be used throughout the rest of the walk through.

$container = 'insights-logs-auditevent'

Per elencare tutti i BLOB in questo contenitore, digitare:To list all the blobs in this container, type:

Get-AzureStorageBlob -Container $container -Context $sa.Context

L'output sarà simile al seguente:The output will look something similar to this:

Uri contenitore: https://contosokeyvaultlogs.blob.core.windows.net/insights-logs-auditeventContainer Uri: https://contosokeyvaultlogs.blob.core.windows.net/insights-logs-auditevent

NomeName


resourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=05/h=01/m=00/PT1H.jsonresourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=05/h=01/m=00/PT1H.json

resourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=04/h=02/m=00/PT1H.jsonresourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=04/h=02/m=00/PT1H.json

resourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=04/h=18/m=00/PT1H.jsonresourceId=/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT/y=2016/m=01/d=04/h=18/m=00/PT1H.json****

Come si vede dall'output, i BLOB seguono una convenzione di denominazione: resourceId=/y=/m=/d=/h=/m=/nomefile.jsonAs you can see from this output, the blobs follow a naming convention: resourceId=/y=/m=/d=/h=/m=/filename.json

I valori di data e ora sono nel formato UTC.The date and time values use UTC.

Poiché si può usare lo stesso account di archiviazione per raccogliere i log per più risorse, l'ID della risorsa completo nel nome del BLOB è molto utile per accedere solo ai BLOB necessari o per scaricarli.Because the same storage account can be used to collect logs for multiple resources, the full resource ID in the blob name is very useful to access or download just the blobs that you need. Prima di procedere, si vedrà però come scaricare tutti i BLOB.But before we do that, we'll first cover how to download all the blobs.

Creare prima di tutto una cartella per scaricare i BLOB.First, create a folder to download the blobs. Ad esempio:For example:

New-Item -Path 'C:\Users\username\ContosoKeyVaultLogs' -ItemType Directory -Force

Ottenere quindi un elenco di tutti i BLOB:Then get a list of all blobs:

$blobs = Get-AzureStorageBlob -Container $container -Context $sa.Context

Inviare l'elenco tramite pipe con 'Get-AzureStorageBlobContent' per scaricare i BLOB nella cartella di destinazione:Pipe this list through 'Get-AzureStorageBlobContent' to download the blobs into our destination folder:

$blobs | Get-AzureStorageBlobContent -Destination 'C:\Users\username\ContosoKeyVaultLogs'

Quando si esegue questo secondo comando, il delimitatore / nei nomi dei BLOB crea una struttura di cartelle completa nella cartella di destinazione. Questa struttura verrà usata per scaricare e archiviare i BLOB come file.When you run this second command, the / delimiter in the blob names create a full folder structure under the destination folder, and this structure will be used to download and store the blobs as files.

Per scaricare BLOB in modo selettivo, usare caratteri jolly.To selectively download blobs, use wildcards. Ad esempio:For example:

  • Se sono disponibili più insiemi di credenziali delle chiavi e si vogliono scaricare i log per un solo insieme di credenziali delle chiavi denominato CONTOSOKEYVAULT3, usare:If you have multiple key vaults and want to download logs for just one key vault, named CONTOSOKEYVAULT3:

      Get-AzureStorageBlob -Container $container -Context $sa.Context -Blob '*/VAULTS/CONTOSOKEYVAULT3
    
  • Se sono disponibili più gruppi di risorse e si vogliono scaricare i log per un solo gruppo di risorse, usare -Blob '*/RESOURCEGROUPS/<resource group name>/*':If you have multiple resource groups and want to download logs for just one resource group, use -Blob '*/RESOURCEGROUPS/<resource group name>/*':

      Get-AzureStorageBlob -Container $container -Context $sa.Context -Blob '*/RESOURCEGROUPS/CONTOSORESOURCEGROUP3/*'
    
  • Per scaricare tutti i log per il mese di gennaio 2016, usare -Blob '*/year=2016/m=01/*':If you want to download all the logs for the month of January 2016, use -Blob '*/year=2016/m=01/*':

      Get-AzureStorageBlob -Container $container -Context $sa.Context -Blob '*/year=2016/m=01/*'
    

A questo punto si può iniziare a osservare il contenuto dei log.You're now ready to start looking at what's in the logs. Prima di continuare, ci sono altri due parametri di Get-AzureRmDiagnosticSetting che può essere necessario conoscere:But before moving onto that, two more parameters for Get-AzureRmDiagnosticSetting that you might need to know:

  • Per eseguire una query sullo stato delle impostazioni di diagnostica per la risorsa insieme di credenziali delle chiavi, usare:Get-AzureRmDiagnosticSetting -ResourceId $kv.ResourceIdTo query the status of diagnostic settings for your key vault resource: Get-AzureRmDiagnosticSetting -ResourceId $kv.ResourceId
  • Per disabilitare la registrazione per la risorsa insieme di credenziali delle chiavi, usare: Set-AzureRmDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $false -Categories AuditEventTo disable logging for your key vault resource: Set-AzureRmDiagnosticSetting -ResourceId $kv.ResourceId -StorageAccountId $sa.Id -Enabled $false -Categories AuditEvent

Interpretare i log dell'insieme di credenziali delle chiaviInterpret your Key Vault logs

I singoli BLOB vengono archiviati come testo, formattati come BLOB JSON.Individual blobs are stored as text, formatted as a JSON blob. Questo è un esempio di voce di log generata dall'esecuzione di Get-AzureRmKeyVault -VaultName 'contosokeyvault':This is an example log entry from running Get-AzureRmKeyVault -VaultName 'contosokeyvault':

{
    "records":
    [
        {
            "time": "2016-01-05T01:32:01.2691226Z",
            "resourceId": "/SUBSCRIPTIONS/361DA5D4-A47A-4C79-AFDD-XXXXXXXXXXXX/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
            "operationName": "VaultGet",
            "operationVersion": "2015-06-01",
            "category": "AuditEvent",
            "resultType": "Success",
            "resultSignature": "OK",
            "resultDescription": "",
            "durationMs": "78",
            "callerIpAddress": "104.40.82.76",
            "correlationId": "",
            "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"1950a258-227b-4e31-a9cf-XXXXXXXXXXXX"}},
            "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
        }
    ]
}

La tabella seguente elenca i nomi dei campi e le descrizioni.The following table lists the field names and descriptions.

Nome campoField name DescrizioneDescription
timetime Data e ora (in formato UTC).Date and time (UTC).
resourceIdresourceId ID della risorsa Gestione risorse di Azure.Azure Resource Manager Resource ID. Per i log dell'insieme di credenziali delle chiavi questo è sempre l'ID della risorsa insieme di credenziali delle chiavi.For Key Vault logs, this is always the Key Vault resource ID.
operationNameoperationName Nome dell'operazione, come illustrato nella tabella seguente.Name of the operation, as documented in the next table.
operationVersionoperationVersion Questa è la versione dell'API REST richiesta dal client.This is the REST API version requested by the client.
categorycategory Per i log dell'insieme di credenziali delle chiavi, AuditEvent è il solo valore disponibile.For Key Vault logs, AuditEvent is the single, available value.
resultTyperesultType Risultato della richiesta API REST.Result of REST API request.
resultSignatureresultSignature Stato HTTP.HTTP status.
resultDescriptionresultDescription Descrizione aggiuntiva del risultato, se disponibile.Additional description about the result, when available.
durationMsdurationMs Tempo impiegato per soddisfare la richiesta API REST, in millisecondi.Time it took to service the REST API request, in milliseconds. Non include la latenza di rete, quindi il tempo misurato sul lato client potrebbe non corrispondere a questo valore.This does not include the network latency, so the time you measure on the client side might not match this time.
callerIpAddresscallerIpAddress Indirizzo IP del client che ha eseguito la richiesta.IP address of the client who made the request.
correlationIdcorrelationId GUID facoltativo che il client può passare per correlare i log sul lato client con quelli sul lato servizio (insieme di credenziali delle chiavi).An optional GUID that the client can pass to correlate client-side logs with service-side (Key Vault) logs.
identityidentity Identità del token presentato al momento dell'esecuzione della richiesta API REST.Identity from the token that was presented when making the REST API request. In genere si tratta di un "utente", una "entità servizio" o una combinazione "utente+appId" come nel caso di una richiesta generata da un cmdlet di Azure PowerShell.This is usually a "user", a "service principal" or a combination "user+appId" as in case of a request resulting from a Azure PowerShell cmdlet.
propertiesproperties Questo campo conterrà informazioni diverse in base all'operazione (operationName).This field will contain different information based on the operation (operationName). Nella maggior parte dei casi contiene informazioni sul client (la stringa useragent passata dal client), l'URI esatto della richiesta API REST e il codice di stato HTTP.In most cases, contains client information (the useragent string passed by the client), the exact REST API request URI, and HTTP status code. Quando un oggetto viene restituito come risultato di una richiesta, ad esempio KeyCreate o VaultGet, conterrà anche l'URI della chiave (come "id"), l'URI dell'insieme di credenziali o l'URI del segreto.In addition, when an object is returned as a result of a request (for example, KeyCreate or VaultGet) it will also contain the Key URI (as "id"), Vault URI, or Secret URI.

I valori del campo operationName sono nel formato OggettoVerbo.The operationName field values are in ObjectVerb format. Ad esempio:For example:

  • Tutte le operazioni sull'insieme di credenziali delle chiavi hanno il formato 'Vault<action>', ad esempio VaultGet e VaultCreate.All key vault operations have the 'Vault<action>' format, such as VaultGet and VaultCreate.
  • Tutte le operazioni sulle chiavi hanno il formato 'Key<action>', ad esempio KeySign e KeyList.All key operations have the 'Key<action>' format, such as KeySign and KeyList.
  • Tutte le operazioni sui segreti hanno il formato 'Secret<action>', ad esempio SecretGet e SecretListVersions.All secret operations have the 'Secret<action>' format, such as SecretGet and SecretListVersions.

La tabella seguente include un elenco di operationName con il comando API REST corrispondente.The following table lists the operationName and corresponding REST API command.

operationNameoperationName Comando API RESTREST API Command
AuthenticationAuthentication Tramite l'endpoint di Azure Active DirectoryVia Azure Active Directory endpoint
VaultGetVaultGet Ottenere informazioni su un insieme di credenziali delle chiaviGet information about a key vault
VaultPutVaultPut Creare o aggiornare un insieme di credenziali delle chiaviCreate or update a key vault
VaultDeleteVaultDelete Eliminare un insieme di credenziali delle chiaviDelete a key vault
VaultPatchVaultPatch Aggiornare un insieme di credenziali delle chiaviUpdate a key vault
VaultListVaultList Elencare tutti gli insiemi di credenziali delle chiavi in un gruppo di risorseList all key vaults in a resource group
KeyCreateKeyCreate Creare una chiaveCreate a key
KeyGetKeyGet Ottenere informazioni su una chiaveGet information about a key
KeyImportKeyImport Importare una chiave in un insieme di credenzialiImport a key into a vault
KeyBackupKeyBackup Eseguire il backup di una chiaveBackup a key.
KeyDeleteKeyDelete Eliminare una chiaveDelete a key
KeyRestoreKeyRestore Ripristinare una chiaveRestore a key
KeySignKeySign Firmare con una chiaveSign with a key
KeyVerifyKeyVerify Verificare con una chiaveVerify with a key
KeyWrapKeyWrap Eseguire il wrapping di una chiaveWrap a key
KeyUnwrapKeyUnwrap Annullare il wrapping di una chiaveUnwrap a key
KeyEncryptKeyEncrypt Crittografare con una chiaveEncrypt with a key
KeyDecryptKeyDecrypt Decrittografare con una chiaveDecrypt with a key
KeyUpdateKeyUpdate Aggiornare una chiaveUpdate a key
KeyListKeyList Elencare le chiavi in un insieme di credenzialiList the keys in a vault
KeyListVersionsKeyListVersions Elencare le versioni di una chiaveList the versions of a key
SecretSetSecretSet Creare un segretoCreate a secret
SecretGetSecretGet Ottenere informazioni su un segretoGet secret
SecretUpdateSecretUpdate Aggiornare un segretoUpdate a secret
SecretDeleteSecretDelete Eliminare un segretoDelete a secret
SecretListSecretList Elencare i segreti in un insieme di credenzialiList secrets in a vault
SecretListVersionsSecretListVersions Elencare le versioni di un segretoList versions of a secret

Usare Log AnalyticsUse Log Analytics

È possibile usare la soluzione Insieme di credenziali delle chiavi di Azure in Log Analytics per esaminare i log AuditEvent dell'Insieme di credenziali delle chiavi di Azure.You can use the Azure Key Vault solution in Log Analytics to review Azure Key Vault AuditEvent logs. Per altre informazioni e per approfondire l'impostazione di questa funzionalità vedere Soluzione Insieme di credenziali delle chiavi di Azure in Log Analytics.For more information, including how to set this up, see Azure Key Vault solution in Log Analytics. Questo articolo contiene inoltre istruzioni su come eseguire la migrazione, nel caso fosse necessario, dalla soluzione Key Vault offerta nell'anteprima di Log Analytics, dove sono stati indirizzati la prima volta i log a un account di Archiviazione di Azure e da dove è stato configurato Log Analytics per la lettura.This article also contains instructions if you need to migrate from the old Key Vault solution that was offered during the Log Analytics preview, where you first routed your logs to an Azure Storage account and configured Log Analytics to read from there.

Passaggi successiviNext steps

Per un'esercitazione sull'uso dell'insieme di credenziali delle chiavi di Azure in un'applicazione Web, vedere Usare l'insieme di credenziali delle chiavi di Azure da un'applicazione Web.For a tutorial that uses Azure Key Vault in a web application, see Use Azure Key Vault from a Web Application.

Per i riferimenti alla programmazione, vedere Guida per gli sviluppatori dell’insieme di credenziali chiave Azure.For programming references, see the Azure Key Vault developer's guide.

Per un elenco di cmdlet di Azure PowerShell 1.0 per l'insieme di credenziali delle chiavi di Azure, vedere Cmdlet per l'insieme di credenziali delle chiavi di Azure.For a list of Azure PowerShell 1.0 cmdlets for Azure Key Vault, see Azure Key Vault Cmdlets.

Per un'esercitazione sulla rotazione delle chiavi e il controllo dei log con l'insieme di credenziali delle chiavi di Azure, vedere Come configurare l'insieme di credenziali delle chiavi con rotazione e controllo delle chiavi end-to-end.For a tutorial on key rotation and log auditing with Azure Key Vault, see How to setup Key Vault with end to end key rotation and auditing.