イベントグリッドを使用してAzureキーVaultの変更を通知する



あなたのAzureキーVaultセットアップと使用を確保して、監査する多数の方法が、あります.2019年に、私はまだWho accessed my Azure Key Vault?を書きました.
この記事では、あなたの秘密に関連する何かが変化したときの自動通知の設定方法についてお話したいと思います.

キーヴォルトのイベント


これを成し遂げるためにステップに入る前に、私は一般にイベントについて話したいです、そして、我々が潜る前に、我々が考えたいかもしれないこと.

どのようなイベントを購読することができますか?


AzureキーVaultはイベントにEventGridを使用します.現在サポートされているイベントは、マイクロソフトVotsウェブサイトに記載されています.
イベントは、3種類のオブジェクト-証明書、キー、および秘密に関連する購読することができます.ここで何をフックすることができますです.
証明書
  • 新しい証明書版は、
  • をつくりました
  • 証明書は、30日以内に期限が切れる
  • 証明書は期限切れになりました
  • キー
  • 新しいキー・バージョンは、
  • をつくりました
    キーは、30日以内に終わります
  • キーは期限切れになりました
  • 秘密
  • 新しい秘密バージョンは、
  • をつくりました
    秘密は、30日の範囲内で終わります
    秘密が期限切れ

    イベントグリッド これを心に留めておきなさい


    イベントを消費するためにあなたのシステムを設計するとき、念頭に置いて重要なことのカップル.
  • は常にイベントがどこから来ているかを確認してください.単一のEventGridは、複数のサブスクリプション間で複数のキーvaultからイベントを処理できます.
  • 堅牢なアプリケーションを構築し、サービスの変更を簡単に処理できることを確認します.私は、ポッドキャスト( )でそれについて話しました.
  • Alture開発者のための考慮事項と良い実行 方法:キーグリッドVaultイベントグリッドを監視する


    おもしろいものになりましょう.あなたが前のセクションを読むならば、私たちは、私が現在消費したいイベントのまわりで有益であることができるいくつかの追加情報を見つけます.
    統合を構築する時間です.
    このデモンストレーションのために、私はイベントでAzure記憶待ち行列を占拠するつもりです.下の写真からわかるように、すぐに利用できるオプションもいくつかあります.
    いずれかのキーヴォールトと“イベント”に行くことができますし、これらの素敵なボックスのいずれかを選択します.
    AzureキーVaultイベントのサブスクリプションタイプを選択します.
    または、このような新しい「イベント購読」を作成することができます.
    Azureポータルから新しいAzureキーVaultイベント購読を作成します
    我々は現在、このサブスクリプションについての詳細を定義することができます.スキーマ、トピック、購読するイベントタイプ、およびその他.
    Azureポータルは、AzureキーVaultで新しいイベントのサブスクリプションを作成することができます.ここでは、Azureストレージキューエンドポイントの新しいイベントを作成します.
    私はドロップダウンからすべての10の利用できるイベントを選びました.
    私はすべてのイベントの種類のために、本当に試して、物事の上に滞在を選んだ.
    この記事の目的のために、残りの設定は変更されません.しかし、以下の作成中に行うことができます他の興味深い設定の短いウォークスルーです.

    デッドレタリング


    に関してマイクロソフトDocsウェブサイトに従って、あなたがイベントを保管に届けられることができないならば、何が起こるかについて定めるために、あなたはサブスクリプションでこれを構成することができます.
    Dead letter and retry policyイベントのためのデッドレタリング構成.

    再試行する


    この段階で再試行ポリシーを構成することもできます.利用可能なデフォルト設定があり、 についてマイクロソフトDocsに従って、システムは自動的に24時間、または30回を試すでしょう.
    この既定の動作を変更する場合は、作成時にも実行できます.
    set retry policy AzureキーVaultはリトライポリシーを持つAzureイベントハブへのサブスクリプションです.

    イベント予約期限


    サブスクリプションが期限切れになるときに定義することができます.
    はイベント購読の期限を定義します.

    フィルタ


    あなたのイベントのフィルタを定義することができます唯一のイベントをあなたのフィルタに一致するように配信されます.
  • 対象のフィルタリング:対象にフィルターをかける.例えば、それが始まる、または特定の文字列で終わる.
  • 高度なフィルタ:イベントの属性に基づくフィルタ.これはANDフィルタであるため、すべてのフィルタに一致するイベントのみが配送されます.
  • イベントにフィルターを追加し、フィルタに合ったイベントを解析するだけです.

    結果を確認する


    作成後、あなたのAzureキーVaultの“イベント”-“サブスクリプション”、およびそれに関連付けられたイベントの下にサブスクリプションを参照してください.
    以下に、私の新しいサブスクリプションがメトリックにいくつかの「公開されたイベント」を持っているのを見ることができます.
    イベントダッシュボード上のイベントの実行を表示するAzureキーVaultイベント.
    私の設定セクションでは、私のイベントをキューメッセージとしてAzureストレージキューに送ることを選びました.
    Azureストレージキューがトリガされた最近追加されたイベントを示す.
    すべてのイベントは、そのようなイベントのためのユニークな詳細と、このように見える.
    {
        "id": "dc272235-15f4-4fee-b56d-d37bbb7eb01d",
        "topic": "/subscriptions/REDACTED/resourceGroups/demos/providers/Microsoft.KeyVault/vaults/acrencryptiondemo",
        "subject": "AnotherSecretName",
        "eventType": "Microsoft.KeyVault.SecretNewVersionCreated",
        "data": {
            "Id": "https://acrencryptiondemo.vault.azure.net/secrets/AnotherSecretName/195d1c3f247a43648b92e1f2efcaed40",
            "VaultName": "acrencryptiondemo",
            "ObjectType": "Secret",
            "ObjectName": "AnotherSecretName",
            "Version": "195d1c3f247a43648b92e1f2efcaed40",
            "NBF": null,
            "EXP": null
        },
        "dataVersion": "1",
        "metadataVersion": "1",
        "eventTime": "2020-08-14T18:51:10.8137761Z"
    }
    
    
    ここから私はどんな行動を取るべきか決められる.

    概要とリンク


    Azureイベントグリッドとイベントサブスクリプションを使用する方法は簡単です.
    残りはあなた次第です!あなたの考えとコメントを残してください.