Journalisation d’Azure Key Vault

Après avoir créé un ou plusieurs coffres de clés, vous souhaiterez probablement surveiller comment et quand vos coffres de clés sont accessibles et par qui. L’activation de la journalisation pour Azure Key Vault enregistre ces informations dans un compte de stockage Azure que vous fournissez. Pour obtenir des instructions pas à pas, consultez Comment activer la journalisation Key Vault.

Vous pouvez accéder aux informations de journalisation 10 minutes (au maximum) après l’opération sur le coffre de clés. Dans la plupart des cas, il sera plus rapide. C’est à vous de gérer vos journaux dans votre compte de stockage :

Utilisez les méthodes de contrôle d’accès Azure standard dans votre compte de stockage pour assurer la sécurité de vos journaux en limitant l’accès à ces derniers.
Supprimez les journaux d’activité que vous ne souhaitez plus conserver dans votre compte de stockage.

Pour plus d’informations sur Key Vault, consultez Qu’est-ce qu’Azure Key Vault ?. Pour plus d’informations sur l’emplacement où Key Vault est disponible, consultez la page de tarification. Pour plus d’informations sur l’utilisation d’Azure Monitor pour Key Vault.

Interpréter vos journaux Key Vault

Lorsque vous activez la journalisation, un nouveau conteneur appelé insights-logs-auditevent est créé automatiquement pour votre compte de stockage spécifié. Vous pouvez utiliser ce même compte de stockage pour collecter les journaux de plusieurs coffres de clés.

Les objets blob individuels sont stockés sous forme de texte, mis en forme en tant qu’objet blob JSON. Examinons un exemple d’entrée de journal.

    {
        "records":
        [
            {
                "time": "2016-01-05T01:32:01.2691226Z",
                "resourceId": "/SUBSCRIPTIONS/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/RESOURCEGROUPS/CONTOSOGROUP/PROVIDERS/MICROSOFT.KEYVAULT/VAULTS/CONTOSOKEYVAULT",
                "operationName": "VaultGet",
                "operationVersion": "2015-06-01",
                "category": "AuditEvent",
                "resultType": "Success",
                "resultSignature": "OK",
                "resultDescription": "",
                "durationMs": "78",
                "callerIpAddress": "104.40.82.76",
                "correlationId": "",
                "identity": {"claim":{"http://schemas.microsoft.com/identity/claims/objectidentifier":"d9da5048-2737-4770-bd64-XXXXXXXXXXXX","http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn":"live.com#username@outlook.com","appid":"00001111-aaaa-2222-bbbb-3333cccc4444"}},
                "properties": {"clientInfo":"azure-resource-manager/2.0","requestUri":"https://control-prod-wus.vaultcore.azure.net/subscriptions/361da5d4-a47a-4c79-afdd-XXXXXXXXXXXX/resourcegroups/contosoresourcegroup/providers/Microsoft.KeyVault/vaults/contosokeyvault?api-version=2015-06-01","id":"https://contosokeyvault.vault.azure.net/","httpStatusCode":200}
            }
        ]
    }

Le tableau ci-après répertorie les noms de champ et leurs descriptions :

Nom du champ	Description
temps	Date et heure en temps universel coordonné (UTC).
resourceId	ID de ressource Azure Resource Manager. Pour les journaux Key Vault, il s’agit toujours de l’ID de ressource Key Vault.
operationName	Nom de l’opération, comme indiqué dans le tableau suivant.
operationVersion	Version d’API REST demandée par le client.
catégorie	Type de résultat. Pour les journaux Key Vault, `AuditEvent` est la seule valeur disponible.
typeDeRésultat	Résultat de la requête d’API REST.
resultSignature	État HTTP
resultDescription	Description supplémentaire du résultat, si disponible.
durationMs	Délai nécessaire pour répondre à la demande API REST, en millisecondes. Le temps n’inclut pas la latence du réseau, de sorte que le temps que vous mesurez côté client peut ne pas correspondre cette fois.
callerIpAddress	Adresse IP du client qui a effectué la requête.
correlationId	GUID facultatif que le client peut transférer pour mettre en corrélation les journaux côté client avec les journaux côté service (Key Vault).
identity	Identité issue du jeton qui a été présenté dans la requête d’API REST. En règle générale, un « utilisateur », un « principal de service » ou la combinaison « user+appId », par exemple lorsque la requête provient d’une applet de commande Azure PowerShell.
properties	Informations qui varient en fonction de l’opération (operationName). Dans la plupart des cas, ce champ contient des informations sur le client (chaîne d’agent utilisateur transmise par le client), l’URI de requête d’API REST exacte et le code d’état HTTP. En outre, lorsqu’un objet est retourné à la suite d’une requête (par exemple, KeyCreate ou VaultGet), il contient également l’URI de clé (en tant que `id`), l’URI du coffre ou l’URI secret.

Les valeurs de champ operationName sont au format ObjectVerb . Par exemple:

Toutes les opérations de coffre de clés ont le format Vault<action>, comme VaultGet et VaultCreate.
Toutes les opérations clés ont le format Key<action>, comme KeySign et KeyList.
Toutes les opérations secrètes ont le format Secret<action>, tel que SecretGet et SecretListVersions.

Le tableau suivant répertorie les valeurs operationName et les commandes d’API REST correspondantes :

Table des noms d’opérations

operationName	Commande API REST
Authentification	S’authentifier via le point d'accès Microsoft Entra
VaultGet	Obtenir des informations sur un coffre de clés
VaultPut	Créer ou mettre à jour un coffre de clés
VaultDelete	Supprimer un coffre de clés
VaultPatch	Mettre à jour un coffre de clés
VaultList	Lister tous les coffres de clés dans un groupe de ressources
VaultPurge	Vider le coffre supprimé
VaultRecover	Récupérer un coffre supprimé
VaultGetDeleted	Obtenir un coffre supprimé
VaultListDeleted	Lister les coffres supprimés
VaultAccessPolicyChangedEventGridNotification	Événement publié lié à la modification de la stratégie d’accès au coffre. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.

operationName	Commande REST de l'API
KeyCreate	Créer une clé
KeyGet	Obtenir des informations sur une clé
KeyImport	Importer une clé dans un coffre
KeyDelete	Supprimer une clé
KeySign	Signer avec une clé
KeyVerify	Vérifier avec une clé
KeyWrap	Encapsuler une clé
KeyUnwrap	Désencapsuler une clé
KeyEncrypt	Chiffrer avec une clé
KeyDecrypt	Déchiffrer avec une clé
KeyUpdate	Mettre à jour une clé
Liste de clés	Lister les clés dans un coffre
KeyListVersions	Répertorier les versions d’une clé
KeyPurge	Vider une clé
KeyBackup	Sauvegarder une clé
KeyRestore	Restaurer une clé
KeyRecover	Récupérer une clé
KeyGetDeleted	Obtenir la clé supprimée
ListeDeClésSupprimée	Lister les clés supprimées dans un coffre
KeyNearExpiryEventGridNotification	Événement publié lié à une clé proche de l’expiration. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.
KeyExpiredEventGridNotification	Événement publié lié à une clé expirée. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.
KeyRotate	Tourner la clé
KeyRotateIfDue	Opération de rotation de clé automatisée planifiée basée sur une stratégie de rotation définie
KeyRotationPolicyGet	Obtenir la stratégie de rotation des clés
EnsembleDePolitiquesDeRotationDeClés	Mettre à jour la Politique de Rotation des Clés

operationName	Commande API REST
SecretSet	Créer un secret
SecretGet	Obtentir un secret
SecretUpdate	Mettre à jour un secret
SecretDelete	Supprimer un secret
SecretList	Lister les secrets d’un coffre
SecretListVersions	Répertorier les versions d’un secret
SecretPurge	Vider un secret
SecretBackup	Sauvegarder un secret
SecretRestore	Restaurer un secret
SecretRecover	Récupérer un secret
SecretGetDeleted	Obtenir un secret supprimé
SecretListDeleted	Lister les secrets supprimés dans un coffre
SecretNearExpiryEventGridNotification	Événement publié lié à un secret proche de l’expiration. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.
SecretExpiredEventGridNotification	Événement publié lié à un secret expiré. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.

operationName	Commande API REST
CertificateGet	Obtenir des informations sur un certificat
CertificateCreate	Créer un certificat
CertificateImport	Importer un certificat dans un coffre
Mise à jour du certificat	Mettre à jour un certificat
CertificateList	Lister les certificats d’un coffre
Versions de la liste des certificats	Répertorier les versions d’un certificat
CertificateDelete	Supprimer un certificat
CertificatePurge	Vider un certificat
CertificateBackup	Sauvegarder un certificat
CertificateRestore	Restaurer un certificat
CertificateRecover	Récupérer un certificat
CertificatSupprimé	Obtenir un certificat supprimé
ListeCertificatsSupprimée	Répertorier les certificats supprimés dans un coffre
CertificatePolicyGet	Obtenir une stratégie de certificat
CertificatePolicyUpdate	Mettre à jour la stratégie de certificat
CertificatePolicySet	Créer une stratégie de certificat
CertificateContactsGet	Obtenir les contacts associés au certificat
CertificateContactsSet	Définir des contacts de certificat
CertificateContactsDelete	Supprimer des contacts de certificat
CertificateIssuerGet	Obtenir un émetteur de certificat
CertificateIssuerSet	Définir l’émetteur de certificat
Mise à jour de l'émetteur de certificat	Mettre à jour l’émetteur de certificat
CertificateIssuerDelete	Supprimer l’émetteur de certificat
CertificateIssuersList	Répertorier les émetteurs de certificats
CertificateEnroll	Enregistrer un certificat
CertificateRenew	Renouveler un certificat
CertificatePendingGet	Récupérer le certificat en attente
CertificatePendingMerge	La fusion du certificat est en attente
CertificatePendingUpdate	La mise à jour du certificat est en attente
CertificatePendingDelete	Supprimer un certificat en attente
CertificateNearExpiryEventGridNotification	Événement publié lié à un certificat proche de l’expiration. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.
CertificateExpiredEventGridNotification	Événement publié lié à un certificat expiré. Il est enregistré, quel que soit l’existence d’un abonnement Event Grid.

Utiliser les journaux Azure Monitor

Vous pouvez utiliser la solution Key Vault dans les journaux Azure Monitor pour examiner les journaux AuditEvent de Key Vault. Dans les journaux Azure Monitor, vous utilisez des requêtes de journal pour analyser les données et obtenir les informations dont vous avez besoin.

Pour plus d’informations, notamment sur la configuration de celui-ci, consultez Azure Key Vault dans Azure Monitor.

Pour comprendre comment analyser les journaux, consultez Exemples de requêtes de journal Kusto

Étapes suivantes

Guide pratique pour activer la journalisation de Key Vault
Azure Monitor
Pour obtenir un didacticiel qui utilise Azure Key Vault dans une application web .NET, consultez Utiliser Azure Key Vault à partir d’une application web.
Pour obtenir des références de programmation, consultez le guide du développeur Azure Key Vault.
Pour obtenir la liste des applets de commande Azure PowerShell 1.0 pour Azure Key Vault, consultez les applets de commande Azure Key Vault.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-04-23