Azure İzleyici müşteri tarafından yönetilen anahtarlar

Azure İzleyici'deki veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Çalışma alanlarınızdaki verileri korumak için kendi şifreleme anahtarınızı kullanabilirsiniz. Azure İzleyici'de müşteri tarafından yönetilen anahtarlar, şifreleme anahtarı yaşam döngüsü ve günlüklere erişim konusunda size denetim sağlar. Yapılandırmadan sonra, bağlı çalışma alanlarına alınan yeni veriler Azure Key Vault veya Azure Key Vault Yönetilen "HSM" anahtarınızla şifrelenir.

Müşteri tarafından yönetilen anahtara genel bakış

Rest'te Veri Şifreleme, kuruluşlarda yaygın bir gizlilik ve güvenlik gereksinimidir. Azure'ın bekleyen şifrelemeyi tamamen yönetmesine izin verebilir veya şifreleme ve şifreleme anahtarlarını yakından yönetmek için çeşitli seçenekleri kullanabilirsiniz.

Azure İzleyici, Microsoft tarafından yönetilen anahtarlar (MMK) kullanılarak tüm verilerin ve kaydedilen sorguların beklemede şifrelenmesini sağlar. Azure İzleyici'nin şifreleme kullanımı, Azure Depolama şifrelemesinin çalışma şekliyle aynıdır.

Erişim verilerini iptal etme özelliğiyle anahtar yaşam döngüsünü denetlemek için Azure Key Vault'ta veya Azure Key Vault Tarafından Yönetilen "HSM"de verileri kendi anahtarınız ile şifreleyin. Müşteri tarafından yönetilen anahtarlar özelliği ayrılmış kümelerde kullanılabilir ve size daha yüksek düzeyde koruma ve denetim sağlar.

Ayrılmış kümelere alınan veriler, hizmet düzeyinde Microsoft tarafından yönetilen anahtarlar veya müşteri tarafından yönetilen anahtarlar kullanılarak ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak iki kez şifrelenir. Çift şifreleme, şifreleme algoritmalarından veya anahtarlardan birinin gizliliğinin ihlal edildiği bir senaryoya karşı koruma sağlar. Ayrılmış kümeler, Kilit Kutusu ile verileri korumanıza da olanak sağlar.

Son 14 gün içinde alınan veya sorgularda son kullanılan veriler, sorgu verimliliği için etkin önbellekte (SSD destekli) tutulur. SSD verileri, müşteri tarafından yönetilen anahtarları yapılandırıp yapılandırmadığınıza bakılmaksızın Microsoft tarafından yönetilen anahtarlarla şifrelenir, ancak SSD erişimi üzerindeki denetiminiz anahtar iptaline bağlıdır.

Müşteri tarafından yönetilen anahtarlar Azure İzleyici'de nasıl çalışır?

Azure İzleyici, Azure Key Vault'ta anahtarınıza erişim vermek için yönetilen kimliği kullanır. Log Analytics kümelerinin kimliği küme düzeyinde desteklenir. Birden çok çalışma alanında müşteri tarafından yönetilen anahtarlar sağlamak için Log Analytics küme kaynağı, Key Vault'unuz ile Log Analytics çalışma alanlarınız arasında ara kimlik bağlantısı görevi görür. Kümenin depolama alanı, Microsoft Entra Kimliği aracılığıyla Azure Key Vault'unuzda kimlik doğrulaması yapmak için kümeyle ilişkili yönetilen kimliği kullanır.

Kümeler iki yönetilen kimlik türünü destekler: Sistem tarafından atanan ve Kullanıcı tarafından atanan; senaryonuza bağlı olarak kümede tek bir kimlik tanımlanabilir.

• Sistem tarafından atanan yönetilen kimlik daha basittir ve olarak ayarlandığında SystemAssignedkümeyle identity type otomatik olarak oluşturulur. Bu kimlik daha sonra veri şifreleme ve şifre çözme için Key Vault'unuza depolama erişimi vermek için kullanılır.
• Kullanıcı tarafından atanan yönetilen kimlik, küme oluşturma sırasında , identity type olarak ayarlandığında UserAssignedmüşteri tarafından yönetilen anahtarları yapılandırmanıza ve küme oluşturmadan önce Key Vault'unuzda bu anahtara izinler vermenizi sağlar.

Müşteri tarafından yönetilen anahtarları yeni bir kümede veya bağlı çalışma alanları veri alan mevcut bir ayrılmış kümede yapılandırabilirsiniz. Benzer şekilde, çalışma alanlarının kümeyle bağlantısını istediğiniz zaman kaldırabilirsiniz. Bağlı çalışma alanlarına alınan yeni veriler anahtarınız ile şifrelenir ve eski veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir. Yapılandırma, eski ve yeni veriler arasında sorguların sorunsuz bir şekilde gerçekleştirildiği alımı veya sorguları kesintiye uğratmaz. Bir kümeden çalışma alanlarının bağlantısını kaldırdığınızda. Alınan yeni veriler Microsoft tarafından yönetilen anahtarlarla şifrelenir.

1. Key Vault
2. Key Vault izinlerine sahip yönetilen bir kimliğe sahip Log Analytics küme kaynağı - kimlik, alt katman ayrılmış küme depolama alanına yayılır
3. Ayrılmış küme
4. Ayrılmış kümeye bağlı çalışma alanları

Şifreleme anahtarları türleri

Depolama veri şifrelemesi ile ilgili üç tür anahtar vardır:

• "KEK" - Anahtar Şifreleme Anahtarı (Müşteri tarafından yönetilen anahtarınız)
• "AEK" - Hesap Şifreleme Anahtarı
• "DEK" - Veri Şifreleme Anahtarı

Geçerli olan kurallar şunlardır:

• Küme depolama alanı, "AEK" olarak bilinen her Depolama Hesabı için benzersiz şifreleme anahtarına sahiptir.
• "AEK", diske yazılan her veri bloğunu şifrelemek için kullanılan anahtarlar olan "DEK'leri" türetmek için kullanılır.
• Kümenizde müşteri tarafından yönetilen "KEK" anahtarını yapılandırırken, küme depolama alanı "AEK" şifrelemesi ve şifre çözmesi için Key Vault'unuza 'sarmalama' ve 'açma' istekleri gerçekleştirir.
• "KEK"niz Key Vault'unuzdan hiçbir zaman ayrılmaz ve anahtarınızı Azure Key Vault Yönetilen "HSM" içinde depolarsanız donanımdan asla ayrılmaz.
• Azure Depolama, kimlik doğrulaması için kümeyle ilişkili yönetilen kimliği kullanır. Microsoft Entra Id aracılığıyla Azure Key Vault'a erişir.

Müşteri Tarafından Yönetilen anahtar sağlama adımları

1. Azure Key Vault oluşturma ve anahtarı depolama
2. Ayrılmış küme oluşturma
3. Key Vault'unuza izin verme
4. Ayrılmış kümeyi anahtar tanımlayıcı ayrıntılarıyla güncelleştirme
5. Çalışma alanlarını bağlama

Müşteri tarafından yönetilen anahtar yapılandırması şu anda Azure portalında desteklenmemektedir ve sağlama Işlemi PowerShell, CLI veya REST istekleri aracılığıyla gerçekleştirilebilir.

Şifreleme anahtarını depolama ("KEK")

Azure Anahtar Yönetimi ürünleri portföyünde kullanılabilecek kasalar ve yönetilen HSM'ler listelenir.

Kümenin planlandığı bölgede mevcut bir Azure Key Vault oluşturun veya kullanın. Anahtar kasanızda günlük şifrelemesi için kullanılacak bir anahtar oluşturun veya içeri aktarınız. Anahtarınızı ve Azure İzleyici'deki verilerinize erişimi korumak için Azure Key Vault kurtarılabilir olarak yapılandırılmalıdır. Key Vault'unuzun özellikleri altında bu yapılandırmayı doğrulayabilirsiniz; hem Geçici silme hem de Temizleme koruması etkinleştirilmelidir.

Bu ayarlar CLI ve PowerShell aracılığıyla Key Vault'ta güncelleştirilebilir:

• Geçici Silme
• Temizleme koruması, geçici silme işleminden sonra bile gizli dizi, kasanın zorla silinmesine karşı koruma korumaları

Gerekli izinler

Kümeyle ilgili eylemleri gerçekleştirmek için şu izinlere ihtiyacınız vardır:

Küme oluşturma

Kümeler, Key Vault'unuzla veri şifrelemesi için yönetilen kimlik kullanır. Veri şifreleme ve şifre çözme işlemleri için Key Vault'unuza erişime izin vermek için kümenizi oluştururken veya için özelliğini SystemAssigned yapılandırın identity type.UserAssigned

FOr örneği, Sistem tarafından atanan yönetilen kimlik için istek gövdesine bu özellikleri ekleyin

{
  "identity": {
    "type": "SystemAssigned"
    }
}

Ayrılmış küme makalesinde gösterilen yordamı izleyin.

Key Vault izinleri verme

Key Vault'ta kümenize ve alt katman depolamanıza erişim vermek için iki izin modeli vardır: Azure rol tabanlı erişim denetimi (Azure RBAC) ve Kasa erişim ilkeleri (eski).

1. Denetlediğiniz Azure RBAC'sini atama (önerilir)

   Rol atamaları eklemek için Kullanıcı Erişim Yöneticisi veya Sahip gibi ve Microsoft.Authorization/roleAssignments/delete izinlerine sahip bir rolünüz Microsoft.Authorization/roleAssignments/write olmalıdır.

   1. Key Vault'unuzu Azure portalında açın ve Ayarlar>Erişim yapılandırması>Azure rol tabanlı erişim denetimi ve Uygula'yı seçin
   2. Erişim denetimi (IAM) düğmesine git'e tıklayın ve Key Vault Şifreleme Hizmeti Şifreleme kullanıcı rolü ataması ekleyin.
   3. Üyeler sekmesinde Yönetilen kimlik'i seçin ve kimlik aboneliğini ve üye olarak kimliği seçin

   

2. Kasa erişim ilkesi atama (eski)

   Key Vault'unuzu Azure portalında açın ve Erişim İlkeleri Kasası erişim ilkesi>+ Erişim İlkesi Ekle'yi seçerek şu ayarlarla bir ilke oluşturun:>

   • Anahtar izinleri— Al, Anahtarı Sarmala ve Anahtarı Aç'ı seçin.
   • Sorumluyu seçin; kümede kullanılan kimlik türüne bağlı olarak (sistem veya kullanıcı tarafından atanan yönetilen kimlik)
     • Sistem tarafından atanan yönetilen kimlik - Küme adını veya küme asıl kimliğini girin
     • Kullanıcı tarafından atanan yönetilen kimlik - kimlik adını girin

   

   Anahtarınızı ve Azure İzleyici verilerinize erişimi korumak için Key Vault'unuzun kurtarılabilir olarak yapılandırıldığını doğrulamak için Get izni gereklidir.

Kümeyi anahtar tanımlayıcı ayrıntılarıyla güncelleştirme

Kümedeki tüm işlemler için eylem izni gerekir Microsoft.OperationalInsights/clusters/write . Bu izin, eylemi içeren Sahip veya Katkıda Bulunan veya eylemi içeren */write Log Analytics Katkıda Bulunanı rolü Microsoft.OperationalInsights/* aracılığıyla verilebilir.

Bu adım, "AEK" sarmalama ve sarmayı kaldırma için kullanılacak anahtar ve sürümle ayrılmış küme depolama alanını güncelleştirir.

Kümedeki KeyVaultProperties'i anahtar tanımlayıcı ayrıntılarıyla güncelleştirin.

İşlem zaman uyumsuzdur ve tamamlanması biraz zaman alabilir.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2023-09-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Çalışma alanını kümeye bağlama

Ayrılmış Kümeler makalesinde gösterilen yordamı izleyin.

Çalışma alanının kümeyle bağlantısını kaldırma

Ayrılmış Kümeler makalesinde gösterilen yordamı izleyin.

Anahtar iptali

Kümenin depolama alanı, anahtar izinlerindeki değişikliklere her zaman bir saat içinde veya daha erken bir sürede saygı gösterir ve depolama kullanılamaz duruma gelir. Bağlı çalışma alanlarına alınan yeni veriler bırakılır ve kurtarılamaz. Bu çalışma alanlarında verilere erişilemiyor ve sorgular başarısız oluyor. Daha önce alınan veriler, kümeniz ve çalışma alanlarınız silinmediği sürece depolama alanında kalır. Erişilemeyen veriler, veri saklama ilkesi tarafından yönetilir ve saklamaya ulaşıldığında temizlenir. Son 14 gün içinde alınan veriler ve sorgularda son kullanılan veriler de sorgu verimliliği için etkin önbellekte (SSD destekli) tutulur. SSD'deki veriler anahtar iptal işleminde silinir ve erişilemez hale gelir. Küme depolama alanı, düzenli aralıklarla sarmalama ve açma işlemleri için Key Vault'a ulaşmayı dener ve anahtar etkinleştirildikten sonra açma işlemi başarılı olur, SSD verileri depolama alanından yeniden yüklenir ve veri alımı ve sorgusu 30 dakika içinde sürdürülür.

Anahtar döndürme

Tuş döndürmenin iki modu vardır:

• Otomatik döndürme: kümedeki özellikleri güncelleştirin "keyVaultProperties" ve özelliği atlayın "keyVersion" veya olarak ""ayarlayın. Depolama otomatik olarak en son anahtar sürümünü kullanır.
• Açık anahtar sürümü güncelleştirmesi— özellikleri güncelleştirin "keyVaultProperties" ve özelliğindeki "keyVersion" anahtar sürümünü güncelleştirin. Anahtar döndürme için kümedeki özelliğin açık olarak güncelleştirilebilir "keyVersion" . Daha fazla bilgi için bkz . Kümeyi Anahtar tanımlayıcı ayrıntılarıyla güncelleştirme. Key Vault'ta yeni bir anahtar sürümü oluşturur ancak kümedeki anahtarı güncelleştirmezseniz, küme depolama alanı önceki anahtarınızı kullanmaya devam eder. Kümede yeni bir anahtarı güncelleştirmeden önce eski anahtarı devre dışı bırakır veya silerseniz anahtar iptal durumuna girersiniz.

Anahtar döndürme işlemi sırasında ve sonrasında tüm verileriniz erişilebilir durumda kalır. Veriler her zaman Anahtar Kasası'ndaki yeni Anahtar Şifreleme Anahtarı ("KEK") sürümünüzle şifrelenen Hesap Şifreleme Anahtarı ("AEK") ile şifrelenir.

Kaydedilen sorgular ve günlük araması uyarıları için müşteri tarafından yönetilen anahtar

Log Analytics'te kullanılan sorgu dili ifade edicidir ve açıklamalarda veya sorgu söz diziminde hassas bilgiler içerebilir. Bazı kuruluşlar, bu tür bilgilerin Müşteri tarafından yönetilen anahtar ilkesi altında korunmasını gerektirir ve sorgularınızı anahtarınızla şifrelenmiş olarak kaydetmeniz gerekir. Azure İzleyici, çalışma alanınıza bağlıyken anahtarınızla şifrelenmiş kaydedilmiş sorguları ve günlük arama uyarılarını kendi Depolama Hesabınızda depolamanıza olanak tanır.

Çalışma Kitapları için müşteri tarafından yönetilen anahtar

Kaydedilmiş sorgular ve günlük arama uyarıları için Müşteri tarafından yönetilen anahtar konusunda bahsedilen önemli noktalar sayesinde Azure İzleyici, 'Kaydet' çalışma kitabındaki Bir Azure Depolama Hesabına içerik kaydet'i seçerken anahtarınızla şifrelenmiş çalışma kitabı sorgularını kendi Depolama Hesabınızda depolamanıza olanak tanır.

Depolama Hesabınızı kaydedilen sorgular için bağlarken, hizmet kaydedilmiş sorguları ve günlük araması uyarı sorgularını Depolama Hesabınızda depolar. Bekleyen Depolama Hesabı şifreleme ilkenizde denetim sahibi olduğunuzda, müşteri tarafından yönetilen anahtarla kaydedilen sorguları koruyabilir ve arama uyarılarını günlüğe kaydedebilirsiniz. Ancak bu Depolama Hesabıyla ilişkili maliyetlerden siz sorumlu olursunuz.

Sorgular için Müşteri tarafından yönetilen anahtar ayarlamadan önce dikkat edilmesi gerekenler

• Çalışma alanınızda ve Depolama Hesabınızda "yazma" izinlerine sahip olmanız gerekir.
• Depolama Hesabınızı Müşteri tarafından yönetilen anahtar şifrelemesi ile Log Analytics çalışma alanınızın bulunduğu bölgede oluşturduğunuzdan emin olun. Kaydedilen sorgular tablo depolama alanında depolandığından ve yalnızca Depolama Hesabı oluşturma sırasında şifrelendiğinden bu önemlidir.
• Sorgu paketine kaydedilen sorgular Müşteri tarafından yönetilen anahtarla şifrelenmez. Sorguları Müşteri tarafından yönetilen anahtarla korumak için, bunun yerine sorguları kaydederken Eski Sorgu Olarak Kaydet'i seçin.
• Depolama alanına kaydetme sorguları hizmet yapıtları olarak kabul edilir ve biçimleri değişebilir.
• Sorgular için depolama hesabı bağlamak, mevcut kaydetme sorgularını çalışma alanınızdan kaldırır. Kopyalama, bu yapılandırmadan önce ihtiyacınız olan sorguları kaydeder. Kaydedilmiş sorgularınızı PowerShell kullanarak görüntüleyebilirsiniz.
• Sorgular için Depolama Hesabı bağlanırken 'geçmiş' ve 'panoya sabitle' sorguları desteklenmez.
• Hem kaydedilen sorgular hem de günlük araması uyarı sorguları için tek bir Depolama Hesabını çalışma alanına bağlayabilirsiniz.
• Günlük araması uyarıları blob depolama alanına kaydedilir ve Müşteri tarafından yönetilen anahtar şifrelemesi Depolama Hesabı oluşturma veya daha sonraki bir tarihte yapılandırılabilir.
• Tetiklenen günlük araması uyarıları arama sonuçları veya uyarı sorgusu içermez. Tetiklenen uyarılarda bağlam almak için uyarı boyutlarını kullanabilirsiniz.

Kaydedilen sorgular için KCG'yi yapılandırma

Depolama Hesabınızda kayıtlı sorguları tutmak için bir Depolama Hesabını sorgular için bağlayın.

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

Yapılandırmadan sonra, kaydedilen tüm yeni arama sorguları depolama alanınıza kaydedilir.

ByOS'u günlük araması uyarı sorguları için yapılandırma

Depolama Hesabınızda günlük araması uyarı sorgularını tutmak için Bir Depolama Hesabını Uyarılar için bağlayın.

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

Yapılandırmadan sonra, herhangi bir yeni uyarı sorgusu depolama alanınıza kaydedilir.

Müşteri Kasası

Kilit kutusu, bir destek isteği sırasında verilerinize erişmeye ilişkin Microsoft mühendisi isteğini onaylama veya reddetme denetimi sağlar.

Kilit kutusu, verilere erişim izninizin abonelik düzeyinde verildiği Azure İzleyici'deki ayrılmış kümede sağlanır.

Microsoft Azure için Müşteri Kasası hakkında daha fazla bilgi edinin

Müşteri Tarafından Yönetilen anahtar işlemleri

Müşteri Tarafından Yönetilen anahtar ayrılmış kümede sağlanır ve bu işlemler ayrılmış küme makalesinde başvurulur

• Kaynak grubundaki tüm kümeleri alma
• Abonelikteki tüm kümeleri alma
• Kümedeki kapasite rezervasyonlarını güncelleştirme
• Kümede billingType güncelleştirme
• Çalışma alanının kümeyle bağlantısını kaldırma
• Kümeyi silme

Sınırlamalar ve kısıtlamalar

• Her bölgede ve abonelikte en fazla beş etkin küme oluşturulabilir.

• Her bölgede ve abonelikte en fazla yedi ayrılmış küme (etkin veya yakın zamanda silinmiş) bulunabilir.

• Bir kümeye en fazla 1.000 Log Analytics çalışma alanı bağlanabilir.

• 30 günlük süre içinde belirli bir çalışma alanında en fazla iki çalışma alanı bağlantı işlemine izin verilir.

• Kümeyi başka bir kaynak grubuna veya aboneliğe taşıma şu anda desteklenmiyor.

• Küme güncelleştirmesi aynı işlemde hem kimlik hem de anahtar tanımlayıcı ayrıntılarını içermemelidir. Her ikisini de güncelleştirmeniz gerekirse, güncelleştirme iki ardışık işlemde olmalıdır.

• Kilit kutusu şu anda Çin'de kullanılamıyor.

• Kasa, Yardımcı planlı tablolar için geçerli değildir.

• Çift şifreleme , desteklenen bölgelerde Ekim 2020'den itibaren oluşturulan kümeler için otomatik olarak yapılandırılır. Kümede bir GET isteği göndererek ve değerin Çift şifreleme etkinleştirilmiş kümeler için olduğunu true gözlemleyerek kümenizin çift şifreleme için yapılandırılıp yapılandırılmadığını isDoubleEncryptionEnabled doğrulayabilirsiniz.

  • Bir küme oluşturur ve "bölge adı kümeler için Çift Şifrelemeyi desteklemez" hatasını alırsanız, REST istek gövdesine ekleyerek "properties": {"isDoubleEncryptionEnabled": false} çift şifreleme olmadan kümeyi oluşturmaya devam edebilirsiniz.
  • Küme oluşturulduktan sonra çift şifreleme ayarları değiştirilemez.

• Kümeye bağlıyken bağlantılı çalışma alanının silinmesine izin verilir. Geçici silme döneminde çalışma alanını kurtarmaya karar verirseniz, çalışma alanı önceki duruma döner ve kümeye bağlı kalır.

• Müşteri tarafından yönetilen anahtar şifrelemesi, yapılandırma zamanından sonra yeni alınan veriler için geçerlidir. Yapılandırmadan önce alınan veriler Microsoft anahtarlarıyla şifrelenmiş olarak kalır. Müşteri tarafından yönetilen anahtar yapılandırmasından önce ve sonra alınan verileri sorunsuz bir şekilde sorgulayabilirsiniz.

• Azure Key Vault kurtarılabilir olarak yapılandırılmalıdır. Bu özellikler varsayılan olarak etkinleştirilmez ve CLI veya PowerShell kullanılarak yapılandırılmalıdır:
  

  • Geçici Silme.
  • Gizli diziyi zorla silmeye karşı korumak için temizleme koruması açılmalıdır, geçici silme işleminden sonra bile kasa.

• Azure Key Vault' unuz, kümeniz ve çalışma alanlarınız aynı bölgede ve aynı Microsoft Entra kiracısında olmalıdır, ancak farklı aboneliklerde olabilir.

• Kümenin identity type ayarlarını verilerinize erişimi de iptal eder, ancak desteğe None başvurmadan geri döndüremezseniz bu yaklaşım önerilmez. Verilerinize erişimi iptal etmenin önerilen yolu anahtar iptalidir.

• Key Vault'unuz Özel Bağlantı (vNet) içindeyse Müşteri tarafından yönetilen anahtarı Kullanıcı tarafından atanan yönetilen kimlikle kullanamazsınız. Bu senaryoda Sistem tarafından atanan yönetilen kimliği kullanabilirsiniz.

• Yardımcı tablo planı müşteri tarafından yönetilen anahtarları desteklemez. Yardımcı plan içeren tablolardaki veriler, Log Analytics çalışma alanınızın geri kalanındaki verileri kendi şifreleme anahtarınızı kullanarak korusanız bile Microsoft tarafından yönetilen anahtarlarla şifrelenir.

Sorun giderme

• Key Vault kullanılabilirliği başına davranış:

  • Normal işlem— depolama alanı kısa bir süre için "AEK"yi önbelleğe alır ve düzenli aralıklarla açmak için Key Vault'a geri döner.

  • Key Vault bağlantı hataları—depolama alanı, kullanılabilirlik sorunu sırasında anahtarların önbellekte kalmasına izin vererek geçici hataları (zaman aşımları, bağlantı hataları, "DNS" sorunları) işler ve blips ve kullanılabilirlik sorunlarının üstesinden gelir. Sorgu ve alma özellikleri kesintisiz olarak devam eder.

• Key Vault erişim hızı: Küme depolama alanının sarmalama ve açma işlemi için Key Vault'a erişme sıklığı 6 ila 60 saniye arasındadır.

• Kümenizi sağlama veya güncelleştirme durumundayken güncelleştirirseniz güncelleştirme başarısız olur.

• Bir küme oluştururken hatayla karşılaşırsanız, aynı ada sahip bir küme son 14 gün içinde silinmiş ve ayrılmış durumda tutulmuş olabilir. Silinen küme adı, silindikten 14 gün sonra kullanılabilir duruma gelir.

• Çalışma alanı başka bir kümeye bağlıysa çalışma alanını kümeye bağlama işlemi başarısız olur.

• Bir küme oluşturur ve KeyVaultProperties'i hemen belirtirseniz, kümeye bir kimlik atanana ve Key Vault'a verilene kadar işlem başarısız olabilir.

• Mevcut kümeyi KeyVaultProperties ile güncelleştirirseniz ve Key Vault'ta 'Get' anahtar Erişim İlkesi eksikse, işlem başarısız olur.

• Kümenizi dağıtamazsanız Azure Key Vault, küme ve bağlı çalışma alanlarınızın aynı bölgede olduğunu doğrulayın. farklı aboneliklerde olabilir.

• Anahtarınızı Key Vault'ta döndürür ve kümedeki yeni anahtar tanımlayıcı ayrıntılarını güncelleştirmezseniz küme önceki anahtarı kullanmaya devam eder ve verilerinize erişilemez hale gelir. Veri alımını ve sorguyu sürdürmek için kümedeki yeni anahtar tanımlayıcı ayrıntılarını güncelleştirin. Depolamanın her zaman geç anahtar sürümünü otomatik olarak kullanmasını sağlamak için anahtar sürümünü "'' ile güncelleştirebilirsiniz.

• Bazı işlemler uzun süre çalışır ve küme oluşturma, küme anahtarı güncelleştirmesi ve küme silme gibi işlemlerin tamamlanması biraz zaman alabilir. Kümeye veya çalışma alanına GET isteği göndererek işlem durumunu denetleyebilirsiniz ve yanıtı gözlemleyebilirsiniz. Örneğin, bağlantısız çalışma alanında özellikler altında clusterResourceId değeri olmaz.

• Hata iletileri

  Küme Güncelleştirmesi

  • 400 - Küme silme durumunda. Zaman uyumsuz işlem devam ediyor. Herhangi bir güncelleştirme işlemi gerçekleştirilmeden önce kümenin işlemini tamamlaması gerekir.
  • 400 - KeyVaultProperties boş değil, ancak biçimi hatalı. Bkz. anahtar tanımlayıcısı güncelleştirmesi.
  • 400 - Key Vault'ta anahtar doğrulanamadı. İzinlerin olmamasından veya anahtarın mevcut olmamasından kaynaklanıyor olabilir. Key Vault'ta anahtar ve Erişim İlkesi ayarladığınızı doğrulayın.
  • 400 - Anahtar kurtarılamaz. Key Vault Geçici silme ve Temizleme koruması olarak ayarlanmalıdır. Key Vault belgelerine bakın
  • 400 - İşlem şu anda yürütülemiyor. Zaman Uyumsuz işleminin tamamlanmasını bekleyin ve yeniden deneyin.
  • 400 - Küme silme durumunda. Zaman Uyumsuz işleminin tamamlanmasını bekleyin ve yeniden deneyin.

  Küme Al

  • 404--Küme bulunamadı, küme silinmiş olabilir. Bu ada sahip bir küme oluşturmaya çalışır ve bir çakışmayla karşılaşırsanız, küme silme işlemindedir.

Sonraki adımlar

• Log Analytics ayrılmış küme faturalaması hakkında bilgi edinin
• Log Analytics çalışma alanlarının düzgün tasarımı hakkında bilgi edinin