Configurar alertas do Azure Key Vault

  • Artigo

Depois de começar a usar o Azure Key Vault para armazenar seus segredos de produção, é importante monitorar a integridade do cofre de chaves para garantir que seu serviço funcione conforme o esperado.

À medida que você começa a escalar seu serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Esse aumento tem o potencial de aumentar a latência de suas solicitações. Em casos extremos, isso pode fazer com que suas solicitações sejam limitadas e afetar o desempenho do serviço. Você também precisa saber se seu cofre de chaves está enviando um número incomum de códigos de erro, para que você possa lidar rapidamente com quaisquer problemas com uma política de acesso ou configuração de firewall.

Este artigo mostrará como configurar alertas em limites especificados para que você possa alertar sua equipe para agir imediatamente se o cofre de chaves estiver em um estado não íntegro. Você pode configurar alertas que enviam um email (de preferência para uma lista de distribuição de equipe), disparam uma notificação da Grade de Eventos do Azure ou ligam ou enviam mensagens de texto para um número de telefone.

Pode escolher entre estes tipos de alerta:

  • Um alerta estático baseado num valor fixo
  • Um alerta dinâmico que irá notificá-lo se uma métrica monitorizada exceder o limite médio do seu cofre de chaves um determinado número de vezes dentro de um intervalo de tempo definido

Importante

Pode levar até 10 minutos para que os alertas recém-configurados comecem a enviar notificações.

Este artigo concentra-se em alertas para o Cofre da Chave. Para obter informações sobre os insights do Key Vault, que combinam logs e métricas para fornecer uma solução de monitoramento global, consulte Monitorando seu cofre de chaves com insights do Key Vault.

Configurar um grupo de ações

Um grupo de ações é uma lista configurável de notificações e propriedades. A primeira etapa na configuração de alertas é criar um grupo de ações e escolher um tipo de alerta:

  1. Inicie sessão no portal do Azure.

  2. Procure Alertas na caixa de pesquisa.

  3. Selecione Gerenciar ações.

    Captura de ecrã que realça o botão Gerir Ações.

  4. Selecione + Adicionar grupo de ações.

    Captura de ecrã que realça o botão para adicionar um grupo de ações.

  5. Escolha o valor Tipo de ação para seu grupo de ações. Neste exemplo, criaremos um alerta por e-mail e SMS. Selecione Email/SMS/Push/Voice.

    Captura de tela que destaca as seleções para adicionar um grupo de ação.

  6. Na caixa de diálogo, insira detalhes de e-mail e SMS e selecione OK.

    Captura de tela que mostra seleções para adicionar um e-mail e alerta de mensagem S M S.

Configurar limites de alerta

Em seguida, crie uma regra e configure os limites que dispararão um alerta:

  1. Selecione seu recurso de cofre de chaves no portal do Azure e, em seguida, selecione Alertas em Monitoramento.

    Captura de tela que mostra a opção do menu Alertas na seção Monitoramento.

  2. Selecione Nova regra de alerta.

    Captura de ecrã que mostra o botão para adicionar uma nova regra de alerta.

  3. Selecione o escopo da regra de alerta. Você pode selecionar um único cofre ou vários cofres.

    Importante

    Ao selecionar vários cofres para o escopo de seus alertas, todos os cofres selecionados devem estar na mesma região. Você precisa configurar regras de alerta separadas para cofres em regiões diferentes.

    Captura de ecrã que mostra como pode selecionar um cofre.

  4. Selecione os limites que definem a lógica dos seus alertas e, em seguida, selecione Adicionar. A equipe do Key Vault recomenda configurar os seguintes limites para a maioria dos aplicativos, mas você pode ajustá-los com base nas necessidades do aplicativo:

    • A disponibilidade do Cofre de Chaves cai abaixo de 100% (limite estático)

    Importante

    Atualmente, este alerta inclui incorretamente operações de longa execução e as relata como o serviço indisponível. Você pode monitorar os logs do Cofre de Chaves para ver se as operações estão falhando devido ao serviço estar indisponível

    • A latência do Cofre da Chave é superior a 1000 ms (limite estático)

    Nota

    A intenção do limite de 1000 ms é notificar que o serviço Key Vault nesta região tem uma carga de trabalho superior à média. Nosso SLA para operações do Key Vault é várias vezes maior, consulte o Contrato de Nível de Serviço para Serviços Online para obter informações sobre o SLA atual. Para alertar quando as operações do Key Vault estiverem fora do SLA, use os limites dos documentos do SLA.

    • A saturação geral do cofre é maior que 75% (limite estático)
    • A saturação geral do cofre excede a média (limite dinâmico)
    • O total de códigos de erro é superior à média (limiar dinâmico)

    Captura de tela que mostra onde você seleciona as condições para alertas.

Exemplo: Configurar um limite de alerta estático para latência

  1. Selecione Latência Geral da Api de Serviço como o nome do sinal.

    Captura de tela que mostra a seleção de um nome de sinal.

  2. Use os seguintes parâmetros de configuração:

    • Defina Limiar como Estático.
    • Defina Operador como Maior que.
    • Defina Tipo de agregação como Média.
    • Defina o valor do limite como 1000.
    • Defina a granularidade da agregação (Período) para 5 minutos.
    • Defina a Frequência de avaliação para Cada 1 Minuto.

    Captura de tela que mostra a lógica configurada para um limite de alerta estático.

  3. Selecionar Concluído.

Exemplo: Configurar um limite de alerta dinâmico para saturação do cofre

Ao usar um alerta dinâmico, você poderá ver os dados históricos do cofre de chaves selecionado. A área azul representa o uso médio do cofre de chaves. A área vermelha mostra picos que teriam disparado um alerta se outros critérios na configuração de alerta fossem atendidos. Os pontos vermelhos mostram casos de violações em que os critérios para o alerta foram atendidos durante a janela de tempo agregada.

Captura de tela que mostra um gráfico da saturação geral do cofre.

Você pode definir um alerta para disparar após um certo número de violações dentro de um tempo definido. Se você não quiser incluir dados anteriores, há uma opção para excluí-los nas configurações avançadas.

  1. Use os seguintes parâmetros de configuração:

    • Defina Nome da Dimensão como Tipo de Transação e Valores de Dimensão como vaultoperation.
    • Defina Threshold como Dynamic.
    • Defina Operador como Maior que.
    • Defina Tipo de agregação como Média.
    • Defina a sensibilidade do limiar como Média.
    • Defina a granularidade da agregação (Período) para 5 minutos.
    • Defina a frequência de avaliação para cada 5 minutos.
    • Defina as configurações avançadas (opcional).

    Captura de tela que mostra a lógica configurada para um limite de alerta dinâmico.

  2. Selecionar Concluído.

  3. Selecione Adicionar para adicionar o grupo de ações que você configurou.

    Captura de tela que mostra o botão para adicionar um grupo de ações.

  4. Nos detalhes do alerta, habilite-o e atribua uma gravidade.

    Captura de ecrã que mostra onde ativar o alerta e atribuir uma gravidade.

  5. Crie o alerta.

Exemplo de alerta por e-mail

Se você seguiu todas as etapas anteriores, receberá alertas por e-mail quando o cofre de chaves atender aos critérios de alerta que você configurou. O seguinte alerta de e-mail é um exemplo.

Captura de tela que destaca as informações necessárias para configurar um alerta de e-mail.

Exemplo: alerta de consulta de log para certificados de quase expiração

Você pode definir um alerta para notificá-lo sobre certificados que estão prestes a expirar.

Nota

Os eventos de quase expiração para certificados são registrados 30 dias antes da expiração.

  1. Vá para Logs e cole abaixo da consulta na janela de consulta

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Selecione Nova regra de alerta

    Captura de ecrã que mostra a janela de consulta com a nova regra de alerta selecionada.

  3. Na guia Condição , use a seguinte configuração:

    • No conjunto de medição , a granularidade da agregação para 1 dia
    • Em Dividir por dimensões , defina a coluna ID do Recurso como ResourceId.
    • Defina CertName e DayTillExpire como dimensões.
    • Em Lógica de alerta, defina o valor Limiar como 0 e a Frequência da avaliação como 1 dia.

    Captura de tela que mostra a configuração da condição de alerta.

  4. Na guia Ações , configure o alerta para enviar um e-mail

    1. Selecione criar grupo de ação

      Captura de tela que mostra como criar um grupo de ações.

    2. Configurar Criar grupo de ação

      Captura de tela que mostra como configurar o grupo de ações.

    3. Configurar notificações para enviar um e-mail

      Captura de tela que mostra como configurar a notificação.

    4. Configurar Detalhes para disparar o alerta de Aviso

      Captura de tela que mostra como configurar os detalhes da notificação.

    5. Selecione Rever + criar

Próximos passos

Use as ferramentas configuradas neste artigo para monitorar ativamente a integridade do cofre de chaves: