Managed HSM アラートを構成する

Azure Managed HSM を使用して運用キーの保管を開始した後は、サービスが意図したとおりに動作しているか確認するために、HSM の正常性を監視することが重要です。

サービスのスケーリングを開始すると、HSM に送信される要求の数が増加します。 この増加によって、要求の待機時間が長くなる可能性があります。 極端なケースでは、要求がスロットルされ、サービスのパフォーマンスに影響を与える可能性があります。 また、アクセス ポリシーやファイアウォールの構成の問題に即座に対応できるよう、HSM が異常な数のエラー コードを送信しているかどうかを知る必要があります。

この記事では、HSM の状態が正常でない場合にチームにすぐに対処するよう警告できるように、しきい値を指定してアラートを構成する方法について説明します。 電子メールを (望ましくはチーム配布リストに) 送信したり、Azure Event Grid 通知を起動したり、電話番号に発信したりテキストを送信したりするアラートを構成できます。

アラートの種類

次のアラートの種類から選択できます。

• 固定値に基づく静的アラート
• 監視対象のメトリックが、定義された時間範囲内で HSM の平均値を一定回数超えた場合にアラートを生成する動的アラート。

この記事では、マネージド HSM のアラートに焦点を当てています。

アクション グループを構成する

アクション グループは、通知とプロパティの構成可能な一覧です。 アラートを構成するための最初の手順は、アクション グループを作成してアラートの種類を選択することです。

1. Azure portal で HSM リソースを選択してから、[監視] の下にある [アラート] を選択します。

   

2. ［作成］ を選択します

   

3. [アクション グループ] を選択します。

   

4. [プロジェクト] と [インスタンス] の詳細を入力し、[次へ] を選択します。

   

5. アクション グループの [通知の種類] を選択します。 この例では、電子メールと SMS アラートを作成します。 [Email/SMS message/Push/Voice]\(メール、SMS メッセージ、プッシュ、音声\) を選択します。

   

6. ダイアログで、電子メールと SMS の詳細を入力してから、 [OK] を選択します。

   

7. 通知時間の名前を入力し、[次へ] を選択します。

   

8. アクション グループの [アクションの種類] を選択します。 この例では、Event Hubs アクションを作成します。 [イベント ハブ] を選択します。

   

9. [Event Hub 名前空間] と [名前] を入力し、[OK] を選択します。

   

10. アクションの [名前] を入力します。

    

11. [確認および作成] を選択し、[作成] を選択します。

アラートのしきい値を構成する

次に、ルールを作成し、以下のようにアラートをトリガーするしきい値を構成します。

1. Azure portal で HSM リソースを選択してから、[監視] の下にある [アラート] を選択します。

   

2. [作成] で [アラート ルール] を選択します。

   

3. アラート ルールのスコープを選択します。 1 つまたは複数の HSM を選択できます。

   重要

   アラートのスコープに対して複数の HSM を選択する場合は、選択したすべての HSM が同じリージョンに存在する必要があります。 異なるリージョンの HSM に対して個別のアラート ルールを構成する必要があります。

   

4. アラートのロジックを定義するしきい値を選択します。 [すべてのシグナルを表示] を選択すると、利用可能なすべての信号を表示できます。 マネージド HSM チームは、ほとんどのアプリケーションに対して次のしきい値を構成することを推奨していますが、アプリケーションのニーズに応じて調整することもできます。

   • Key Vault の可用性が 100% を下回る (静的しきい値)
   • Key Vault の待機時間が 1,000 ミリ秒を超える (静的しきい値)

   Note

   1,000 ミリ秒のしきい値の目的は、このリージョンの Key Vault サービスのワークロードが平均より高いことを通知することです。 Key Vault の操作に関する SLA は、その数倍です。 現在の SLA については、「Microsoft Online Services のサービス レベル アグリーメント」を参照してください。 Key Vault の操作が SLA の範囲外である場合にアラートを送信するには、SLA ドキュメントのしきい値を使用してください。

   • エラー コードの総数が平均を超える (動的しきい値)

   

5. アラート ルールに適用するアクションを選択します。 この例では、既存のアクション グループを追加します。 アクション グループを選択し、[選択] を選択します。

   

6. [プロジェクト] と [アラート ルール] の詳細を入力し、[次へ] を選択します。

7. ［作成］ を選択します

例: 待機時間に対する静的アラートのしきい値の構成

1. シグナル名として [サービス API の全体的な待機時間] を選択し、[適用] を選択します。

   

   1. 次の構成パラメーターを使用します。

      • [しきい値] を [静的] に設定します。
      • [集計の種類] を [平均] に設定します。
      • [演算子] を [より大きい] に設定します。
      • [しきい値] を [1000] に設定します。
      • [確認する間隔] を [1 分] に設定します。
      • [ルックバック期間] を [5 分] に設定します。

      

   2. 完了 を選択します。

   例: Azure Advisor のアラートの構成

   過去 30 日以内にバックアップが行われていない場合にアラートを受け取るには、Advisor でアラートを設定する必要があります。

   1. Azure portal で "Advisor" を検索し、"Advisor" サービスを選択します。

      

   2. [監視] で [アラート] を選択します。

      

   3. [New Advisor Alert]\(新しい Advisor アラート\) を選択します。

      

   4. アラート ルールのスコープを選択します。

   5. 構成条件として [推奨事項の種類] を選択します。

   6. 推奨事項の種類として "HSM のバックアップを作成する" を検索し、選択します。

   7. [アクション グループ] を選択します。 この例では、既存のアクション グループを選択します。 アラート ルールにアタッチするアクション グループを最大 5 つ選択できます。 [既存のものを選択] を選択すると、サイド パネルが表示されます。既存のアクション グループを選択します。

      

      

   8. アラート ルールに名前を付けて、適用するリソース グループを選択します。 次に、[アラートの作成] を選択します。

      

   次のステップ

この記事で設定したツールを使用して、キー コンテナーの正常性をアクティブに監視します。

• Azure Managed HSM を監視する
• Azure Key Vault の監視データのリファレンス
• Azure Managed HSM 用の Sentinel の設定
• Azure リソースのログ クエリ アラートを作成する