이벤트 메쉬를 사용하여 Azure Key Vault에서 변경된 알림 받기

Azure Key Vault 설정 및 사용을 보호하고 검토할 수 있는 여러 가지 방법이 있습니다.2019년에 나는 Who accessed my Azure Key Vault?를 썼는데 이것은 여전히 관련이 있다.
본고에서, 나는 당신의 기밀과 관련된 내용이 변경될 때 어떻게 자동 알림을 설정하는지 토론하고 싶습니다.

주요 Vault의 이벤트

우리가 이 목표를 실현하는 절차를 깊이 연구하기 전에 나는 일반적인 상황에서의 사건과 우리가 깊이 연구하기 전에 생각해야 할 일을 이야기하고 싶다.

우리는 어떤 활동을 구독할 수 있습니까?

Azure Key Vault는 EventGrid를 사용하여 이벤트를 처리합니다.현재 지원되는 이벤트는 Microsoft Docs 웹 사이트에서 중요 Vault 문서의 "Event Grid event schema"에 나와 있습니다.
세 가지 유형의 대상 (인증서, 키, 기밀) 과 관련된 이벤트에 가입할 수 있습니다.다음은 우리가 연결할 수 있는 내용입니다.
인증서

만든 새 인증서 버전

30일 이내 인증서 만료

인증서 만료

열쇠.

만든 새 키 버전

키 만료 30일 이내

키 만료

비밀.

새 기밀 버전 생성

30일 이내에 기밀이 만료됨

만료된 기밀 정보

이 점을 명심하다

이벤트를 사용하도록 시스템을 설계할 때 두 가지 중요한 것을 기억하십시오.

소비자 검증 이벤트의 출처를 항상 확보합니다.하나의 EventGrid는 여러 개의 키 라이브러리에서 온 이벤트를 여러 개의 구독에 걸쳐 처리할 수 있습니다.

탄력적인 응용 프로그램을 구축하여 서비스의 변경 사항을 쉽게 처리할 수 있도록 합니다.나는 나의 팟캐스트 Ctrl+Alt+Azure Episode 11 - Considerations and Good Practices for Azure Developers 에서 이 점을 이야기했다.

방법: 이벤트 격자를 사용하여 키 라이브러리 감시

우리 재미있는 일을 이야기합시다.만약 당신이 앞의 부분을 읽었다면, 우리는 내가 흥미롭게 생각하는 몇 가지 용례와 우리가 지금 소비하고 싶은 사건에 대한 유익한 추가 정보를 훑어보았을 것이다.
이제는 통합을 구축할 때다.
프레젠테이션을 위해 이벤트로 Azure 저장 대기열을 채울 것입니다.다음 그림에서 알 수 있듯이 많은 선택이 있다.
너는 너의 열쇠 창고와'활동'에 가서 이 예쁜 상자 중에서 하나를 선택할 수 있다.
Azure Key Vault 이벤트에 대한 구독 유형을 선택합니다.
또는 다음과 같이 새 이벤트 구독을 만들 수 있습니다.
Azure 포털에서 새 Azure Key Vault 이벤트 구독 생성
이 구독에 대한 자세한 정보를 정의할 수 있습니다.패턴, 테마, 구독할 이벤트 유형 등.
Azure Portal은 Azure 키 라이브러리에서 새로운 이벤트 구독을 만들 수 있도록 합니다.여기서 Azure 저장소 대기열 끝점에 새 이벤트를 만들고 있습니다.
드롭다운 목록에서 사용 가능한 10개의 이벤트를 선택하여 내가 얻을 수 있는 모든 알림을 받을 수 있도록 했습니다.
나는 모든 유형의 활동을 선택하여 진정으로 최신 상황을 시도하고 파악했다.
본고의 목적에서 나는 나머지 설정을 변하지 않게 유지할 것이다.그러나 다음은 창설 과정에서 진행할 수 있는 다른 재미있는 설정에 대한 간략한 소개입니다.

죽은 글자

icrosoft Docs 웹 사이트의 Dead letter and retry policy에 대한 내용에 따라 구독에서 이 옵션을 설정하여 이벤트가 저장소에 전달되지 않으면 어떻게 해야 하는지 정의할 수 있습니다.
이벤트의 죽은 글자 설정.

정책 재시도

이 단계에서 재시도 정책을 설정할 수도 있습니다.기본 구성은 Microsoft Docs aboutset retry policy에 따라 24시간 또는 30회 자동으로 시도됩니다.
이 기본 동작을 변경하려면 만드는 동안 변경할 수도 있습니다.
재시도 정책을 가진 Azure Key Vault가 Azure Event Hub에 가입합니다.

이벤트 구독 만료 시간

구독이 만료되는 시기를 정의할 수 있습니다.
이벤트 구독의 만료 시간을 정의합니다.

여과기

이벤트에 대한 필터를 정의하여 필터와 일치하는 이벤트만 전달할 수 있습니다.

테마 필터링: 테마를 필터링합니다. 예를 들어 테마가 특정 문자열로 시작하거나 끝납니다.

고급 필터: 이벤트 속성 기반 필터.이것은 AND 필터이기 때문에 모든 필터와 일치하는 이벤트만 전달합니다.

이벤트에 선택적 필터를 추가하여 필터와 일치하는 이벤트만 확인합니다.

심사 결과

생성되면 Azure 키 라이브러리의 이벤트 - 구독에서 구독과 관련된 모든 이벤트를 볼 수 있습니다.
아래에서, 당신은 나의 새로운 구독이 지표 중 일부'이미 발표된 사건'을 볼 수 있습니다. 왜냐하면 도표에 이 아름다운 선을 제공하기 위해서 제가 수동으로 비밀을 업데이트했기 때문입니다.
이벤트 대시보드에서 이벤트 실행을 표시하는 Azure Key Vault 이벤트.
구성 부분에서 이벤트를 대기열 메시지로 Azure 저장 대기열에 보내기로 했습니다. 이벤트를 받았습니다.
최근에 추가된 트리거 이벤트의 Aazure 스토리지 큐를 표시합니다.
모든 사건은 이렇게 보이고 특정 사건의 독특한 디테일을 가지고 있다.

{
    "id": "dc272235-15f4-4fee-b56d-d37bbb7eb01d",
    "topic": "/subscriptions/REDACTED/resourceGroups/demos/providers/Microsoft.KeyVault/vaults/acrencryptiondemo",
    "subject": "AnotherSecretName",
    "eventType": "Microsoft.KeyVault.SecretNewVersionCreated",
    "data": {
        "Id": "https://acrencryptiondemo.vault.azure.net/secrets/AnotherSecretName/195d1c3f247a43648b92e1f2efcaed40",
        "VaultName": "acrencryptiondemo",
        "ObjectType": "Secret",
        "ObjectName": "AnotherSecretName",
        "Version": "195d1c3f247a43648b92e1f2efcaed40",
        "NBF": null,
        "EXP": null
    },
    "dataVersion": "1",
    "metadataVersion": "1",
    "eventTime": "2020-08-14T18:51:10.8137761Z"
}

지금부터 나는 내가 어떤 행동을 취해야 할지 결정할 수 있다.

요약 및 링크

Azure 이벤트 격자와 이벤트 구독이 얼마나 쉬운지 보았습니다.
나머지는 네가 결정해!읽어주셔서 감사합니다. - 당신의 생각과 평론을 남겨 주세요.