Configurer des alertes Azure Key Vault

Une fois que vous avez commencé à utiliser Azure Key Vault pour stocker vos secrets de production, vous devez impérativement surveiller l’intégrité de votre coffre de clés pour veiller au bon fonctionnement du service.

Plus votre service se développera, plus le nombre de demandes envoyées à votre coffre de clés augmentera. Cette augmentation est susceptible d’accroître la latence de vos demandes. Dans les cas extrêmes, cela peut entraîner la limitation de vos demandes et avoir un impact sur les performances de votre service. Vous devez également savoir si votre coffre de clés envoie un nombre inhabituel de codes d’erreur, afin de pouvoir traiter rapidement tout problème à l’aide d’une stratégie d’accès ou d’une configuration de pare-feu.

Cet article vous explique comment configurer des alertes à des seuils spécifiques afin de pouvoir alerter votre équipe de la nécessité de prendre des mesures immédiates si l’état de votre coffre de clés n’est pas sain. Vous pouvez configurer des alertes qui envoient un e-mail (de préférence à une liste de distribution de l’équipe), déclenchent une notification Azure Event Grid, appellent un numéro de téléphone ou lui envoient un SMS.

Vous pouvez choisir entre les types d’alerte suivants :

  • Une alerte statique basée sur une valeur fixe
  • Une alerte dynamique qui vous avertit si une métrique surveillée dépasse la limite moyenne de votre coffre de clés un certain nombre de fois dans un intervalle de temps défini

Important

Il peut s’écouler jusqu’à dix minutes avant que les alertes nouvellement configurées commencent à envoyer des notifications.

Cet article porte sur les alertes pour Key Vault. Pour plus d’informations sur Key Vault Insights, qui combine les journaux et les métriques pour fournir une solution de surveillance globale, consultez Superviser votre coffre de clés avec Key Vault Insights.

Configurer un groupe d'actions

Un groupe d'actions est une liste configurable de notifications et de propriétés. La première étape de la configuration des alertes consiste à créer un groupe d’actions et à choisir un type d’alerte :

  1. Connectez-vous au portail Azure.

  2. Recherchez Alertes dans la zone de recherche.

  3. Sélectionnez Gérer les actions.

    Capture d’écran mettant en évidence le bouton Gérer les actions.

  4. Sélectionnez + Ajouter un groupe d’actions.

    Capture d’écran mettant en évidence le bouton permettant d’ajouter un groupe d’actions.

  5. Choisissez la valeur Type d’action à associer à votre groupe d’actions. Dans cet exemple, nous allons créer une alerte par e-mail et par SMS. Sélectionnez E-mail/SMS/Push/Voix.

    Capture d’écran mettant en évidence les sélections pour ajouter un groupe d’actions.

  6. Dans la boîte de dialogue, entrez les informations relatives à l’e-mail et au SMS, puis sélectionnez OK.

    Capture d’écran mettant en évidence les sélections pour l’ajout d’une alerte par e-mail et par SMS.

Configurer les seuils d'alerte

Ensuite, créez une règle et configurez les seuils qui déclencheront une alerte :

  1. Sélectionnez votre coffre de clés sur le portail Azure, puis choisissez Alertes sous Surveillance.

    Capture d’écran illustrant l’option de menu Alertes dans la section Monitoring.

  2. Sélectionnez Nouvelle règle d’alerte.

    Capture d’écran montrant le bouton permettant d’ajouter une nouvelle règle d’alerte.

  3. Sélectionnez l'étendue de votre règle d'alerte. Vous pouvez sélectionner un ou plusieurs coffres.

    Important

    Quand vous sélectionnez plusieurs coffres pour l’étendue de vos alertes, tous les coffres sélectionnés doivent se trouver dans la même région. Vous devez configurer des règles d’alerte distinctes pour les coffres situés dans des régions différentes.

    Capture d’écran montrant comment sélectionner un coffre.

  4. Sélectionnez les seuils qui définissent la logique de vos alertes, puis sélectionnez Ajouter. L’équipe Key Vault recommande de configurer les seuils suivants pour la plupart des applications, mais vous pouvez les ajuster en fonction des besoins de votre application :

    • La disponibilité de Key Vault passe en dessous de 100 % (seuil statique)

    Important

    Cette alerte inclut actuellement de manière incorrecte les opérations de longue durée et les signale comme étant des services indisponibles. Vous pouvez superviser les journaux Key Vault pour voir si les opérations échouent en raison de l’indisponibilité du service

    • La latence de Key Vault est supérieure à 1000 ms (seuil statique)

    Remarque

    Le seuil de 1000 ms a pour but de signaler que le service Key Vault de cette région a une charge de travail supérieure à la moyenne. Notre contrat de niveau de service pour les opérations du coffre de clés est plusieurs fois plus élevé, consultez le Contrat de niveau de service pour les services en ligne pour le contrat de niveau de service actuel (SLA). Pour alerter lorsque les opérations du coffre de clés ne respectent pas l’accord de niveau de service, utilisez les seuils indiqués dans les documents de l’accord de niveau de service (SLA).

    • La saturation globale du coffre est supérieure à 75 % (seuil statique)
    • La saturation globale du coffre est supérieure à la moyenne (seuil dynamique)
    • Le nombre total de codes d’erreur est supérieur à la moyenne (seuil dynamique)

    Capture d’écran montrant où sélectionner les conditions des alertes.

Exemple : Configurer un seuil d’alerte statique pour la latence

  1. Sélectionnez Latence globale de l’API de service comme nom de signal.

    Capture d’écran montrant la sélection d’un nom de signal.

  2. Utilisez les paramètres de configuration suivants :

    • Définissez Seuil sur Statique.
    • Définissez Opérateur sur Supérieur à.
    • Définissez Type d’agrégation sur Moyenne.
    • Définissez Valeur de seuil sur 1000.
    • Définissez Précision d’agrégation (période) sur 5 minutes.
    • Définissez Fréquence d’évaluation sur Toutes les minutes.

    Capture d’écran montrant la logique configurée pour un seuil d’alerte statique.

  3. Sélectionnez Terminé.

Exemple : Configurer un seuil d’alerte dynamique pour la saturation du coffre

Lorsque vous utilisez une alerte dynamique, vous pouvez consulter les données historiques du coffre de clés que vous avez sélectionné. La zone bleue représente l'utilisation moyenne de votre coffre de clés. La zone rouge indique les pics qui auraient déclenché une alerte si d’autres critères de la configuration de l’alerte avaient été respectés. Les points rouges indiquent les cas de violations dans lesquels les critères d’alerte ont été remplis pendant la fenêtre temporelle agrégée.

Capture d’écran d’un graphique représentant la saturation globale du coffre.

Vous pouvez définir une alerte pour qu'elle se déclenche après un certain nombre de violations sur une période déterminée. Si vous ne souhaitez pas inclure les données antérieures, une option vous permet de les exclure dans les paramètres avancés.

  1. Utilisez les paramètres de configuration suivants :

    • Définissez Nom de la dimension sur Type de transaction et Valeurs de dimension sur vaultoperation.
    • Définissez Seuil sur Dynamique.
    • Définissez Opérateur sur Supérieur à.
    • Définissez Type d’agrégation sur Moyenne.
    • Définissez Sensibilité du seuil sur Moyenne.
    • Définissez Précision d’agrégation (période) sur 5 minutes.
    • Définissez Fréquence d’évaluation sur Toutes les 5 minutes.
    • Configurez les paramètres avancés (facultatif).

    Capture d’écran montrant la logique configurée pour un seuil d’alerte dynamique.

  2. Sélectionnez Terminé.

  3. Sélectionnez Ajouter pour ajouter le groupe d’actions que vous avez configuré.

    Capture d’écran montrant le bouton permettant d’ajouter un groupe d’actions.

  4. Dans les détails de l’alerte, activez l’alerte et attribuez une gravité.

    Capture d’écran montrant où activer l’alerte et attribuer un niveau de gravité.

  5. Créez l’alerte.

Exemple d'alerte par e-mail

Si vous avez suivi toutes les étapes précédentes, vous recevrez des alertes par e-mail chaque fois que votre coffre de clés répondra aux critères d’alerte que vous avez configurés. L’alerte par e-mail suivante est un exemple.

Capture d’écran mettant en évidence les informations nécessaires à la configuration d’une alerte par e-mail.

Exemple : Alerte de requête de journal pour les certificats sur le point d’expirer

Vous pouvez définir une alerte pour vous avertir des certificats qui sont sur le point d’expirer.

Remarque

Les événements qui se rapprochent de l'expiration des certificats sont enregistrés 30 jours avant cette date.

  1. Accédez à Journaux et collez la requête ci-dessous dans la fenêtre de requête

    AzureDiagnostics
    | where OperationName =~ 'CertificateNearExpiryEventGridNotification'
    | extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
    | extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
    | project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire
    
    
  2. Sélectionnez Nouvelle règle d’alerte

    Capture d’écran montrant la fenêtre de requête avec la nouvelle règle d’alerte sélectionnée.

  3. Sous l’onglet Condition, utilisez la configuration suivante :

    • Dans Mesure, définissez Précision de l’agrégation sur 1 jour
    • Dans Diviser par dimensions, définissez Colonne d’ID de ressource sur ResourceId.
    • Définissez CertName et DayTillExpire en tant que dimensions.
    • Dans Logique d’alerte, définissez Valeur du seuil sur 0 et Fréquence d’évaluation sur 1 jour.

    Capture d’écran montrant la configuration des conditions de l’alerte.

  4. Sous l’onglet Actions, configurez l’alerte pour envoyer un e-mail

    1. Sélectionnez Créer un groupe d’actions

      Capture d’écran montrant comment créer un groupe d’actions.

    2. Configurez Créer un groupe d’actions

      Capture d’écran montrant comment configurer un groupe d’actions.

    3. Configurez Notifications pour envoyer un e-mail

      Capture d’écran montrant comment configurer les notifications.

    4. Configurez Détails pour déclencher l’alerte Avertissement

      Capture d’écran montrant comment configurer les détails des notifications.

    5. Sélectionner Vérifier + créer

Étapes suivantes

Utilisez les outils que vous avez configurés dans cet article pour surveiller activement l’intégrité de votre coffre de clés :