Configurar alertas de HSM administrados
Después de empezar a usar Azure Managed HSM para almacenar las claves de producción, es importante supervisar el estado de HSM para asegurarse de que el servicio funciona según lo previsto.
A medida que empiece a escalar el servicio, aumenta el número de solicitudes enviadas al HSM. Este aumento puede aumentar la latencia de las solicitudes. En casos extremos, puede hacer que las solicitudes se limiten y afecten al rendimiento del servicio. También debe saber si el HSM envía un número inusual de códigos de error, por lo que puede controlar rápidamente cualquier problema con una directiva de acceso o una configuración de firewall.
En este artículo se muestra cómo configurar alertas en umbrales especificados para que pueda alertar a su equipo para que tome medidas inmediatamente si el HSM está en un estado incorrecto. Puede configurar alertas que envíen un correo electrónico (preferiblemente a una lista de distribución del equipo), desencadenar una notificación de Azure Event Grid, o llamar a un número de teléfono o enviar un mensaje de texto a este.
Tipos de alerta
Puede elegir entre estos tipos de alerta:
- Alerta estática basada en un valor fijo
- Alerta dinámica que le notifica si una métrica supervisada supera el límite medio del HSM un número determinado de veces dentro de un intervalo de tiempo definido
Importante
Tenga en cuenta que las alertas configuradas recientemente pueden tardar hasta 10 minutos en empezar a enviar notificaciones.
Este artículo se centra en las alertas de HSM administrado.
Configurar un grupo de acciones.
Un grupo de acciones es una lista configurable de notificaciones y propiedades. El primer paso para configurar alertas es crear un grupo de acciones y elegir un tipo de alerta:
Seleccione el recurso de HSM en Azure Portal y después seleccione Alertas en Supervisión.
Seleccione Crear.
Seleccione Grupo Acción.
Escriba detalles del Proyecto e instancia y a continuación, seleccione Siguiente.
Elija el Tipo de notificación para el grupo de acciones. En este ejemplo, creamos una alerta de correo electrónico y SMS. Seleccione Email/SMS message/Push/Voice.
En el cuadro de diálogo, escriba los detalles de correo electrónico y SMS y, a continuación, seleccione Aceptar.
Escriba un nombre para la hora de notificación y seleccione Siguiente.
Seleccione un Tipo de acción para el grupo de acciones. En este ejemplo, creamos una acción de Event Hubs. Seleccione Centro de eventos.
Escriba el Espacio de nombres del centro de eventos y nombre seleccione Aceptar.
Escriba un Nombre para la acción.
Selecciona Revisar y crear y luego Crear.
Configurar umbrales de alerta
A continuación, cree una regla y configure los umbrales que desencadenan una alerta:
Seleccione el recurso de HSM en Azure Portal y después seleccione Alertas en Supervisión.
Seleccione Regla de alertas en Crear.
Seleccione el ámbito de la regla de alertas. Puede seleccionar un único HSM o varios HSM.
Importante
Al seleccionar varios HSM para el ámbito de las alertas, todos los HSM seleccionados deben estar en la misma región. Tiene que configurar reglas de alerta independientes para los HSM en regiones diferentes.
Seleccione los umbrales que definen la lógica de las alertas. Puede ver todas las señales disponibles seleccionando Ver todas las señales. El equipo de HSM administrado recomienda configurar los siguientes umbrales para la mayoría de las aplicaciones, pero puede ajustarlos en función de las necesidades de la aplicación:
- La disponibilidad de Key Vault baja por debajo del 100 % (umbral estático)
- Latencia de Key Vault es mayor que 1000 ms (umbral estático)
Nota:
La intención del umbral de 1000 ms es notificar que el servicio Key Vault de esta región tiene una carga de trabajo superior al promedio. Nuestro Acuerdo de Nivel de Servicio (SLA) para las operaciones de Key Vault es varias veces mayor. Consulte el Acuerdo de Nivel de Servicio para el servicios en línea para el Acuerdo de Nivel de Servicio actual(SLA). Para alertar cuando las operaciones de Key Vault están fuera del Acuerdo de Nivel de Servicio, use los umbrales de los documentos del Acuerdo de Nivel de Servicio.
- Códigos de error totales son mayores que el promedio (umbral dinámico).
Seleccione una acción para aplicarla a la regla de alertas. En este ejemplo, se agrega un grupo de acciones existente. Seleccione el grupo de acciones y seleccione Seleccionar.
Escriba detalles del Proyecto y Regla de alerta y a continuación, seleccione Siguiente.
Seleccione Crear.
Ejemplo: Configuración de un umbral de alerta estático para la latencia
Seleccione Latencia general de API de servicio como nombre de señal y seleccione Aplicar.
Utilice los siguientes parámetros de configuración:
- Establezca Umbral en Estático.
- Establezca el tipo de agregación en Media.
- Establezca el operador en Mayor que.
- Establezca Valor de umbral en 1000.
- Establezca Comprobar cada en 1 minuto.
- Establezca Período de devolución de búsqueda en 5 minutos.
Selecciona Listo.
Ejemplo: Configuración de una alerta de Azure Advisor
Para recibir una alerta si no se ha realizado una copia de seguridad en los últimos 30 días, la alerta debe configurarse en Advisor.
Busque "Advisor" en Azure Portal y seleccione el servicio "Advisor".
Seleccione Alertas en Supervisión.
Seleccione Nueva alerta de Advisor.
Seleccione el ámbito de la regla de alertas.
Seleccione Tipo de recomendación como condición de configuración.
Busque "Crear una copia de seguridad de HSM" como el tipo de recomendación y selecciónelo.
Seleccionar un Grupo de acciones. En este ejemplo, seleccionaremos un grupo de acciones existente. Puede seleccionar hasta 5 grupos de acciones para asociar a una regla de alerta. Elija Seleccionar existente y aparecerá un panel lateral. Seleccione el grupo de acciones existente.
Asigne un nombre a la regla de alertas y seleccione el grupo de recursos al que se aplica. A continuación, seleccione Crear alerta.
Pasos siguientes
Use las herramientas que ha configurado en este artículo para supervisar activamente el estado de su almacén de claves.