Receba e responda a notificações do Key Vault com o Azure Event Grid

A integração do Cofre da Chave do Azure com a Grade de Eventos do Azure permite a notificação do usuário quando o status de um segredo armazenado em um cofre de chaves foi alterado. Para obter uma visão geral desse recurso, consulte Monitoring Key Vault with Event Grid.

Este guia descreve como receber notificações do Key Vault por meio do Event Grid e como responder a alterações de status por meio do Azure Automation.

Pré-requisitos

• Uma assinatura do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
• Um cofre de chaves na sua Subscrição do Azure. Você pode criar rapidamente um novo cofre de chaves seguindo as etapas em Definir e recuperar um segredo do Cofre de Chaves do Azure usando a CLI do Azure.

Conceitos

O Event Grid é um serviço de eventos para a cloud. Seguindo as etapas deste guia, você se inscreverá em eventos do Key Vault e encaminhará eventos para a Automação. Quando um dos segredos no cofre de chaves está prestes a expirar (definido como 30 dias antes da data de expiração), o Event Grid é notificado da mudança de estado e envia um HTTP POST para o endpoint. Em seguida, um webhook inicia a execução de automação de um script do PowerShell.

Criar uma conta de automação

Crie uma conta de Automação através do portal do Azure:

1. Vá para portal.azure.com e inicie sessão na sua subscrição.

2. Na caixa de pesquisa, insira Contas de automação.

3. Na seção Serviços da lista suspensa na barra de pesquisa, selecione Contas de automação.

4. Selecione Adicionar.

   

5. Insira as informações necessárias no painel Adicionar Conta de Automação e selecione Criar.

Criar um runbook

Depois que sua conta de automação estiver pronta, crie um runbook.

1. Selecione a conta de automação que você criou.

2. Selecione Runbooks em Automação de processos.

3. Selecione Criar um runbook.

4. Nomeie seu runbook e selecione PowerShell como o tipo de runbook.

5. Selecione o runbook que você criou e, em seguida, selecione o botão Editar .

6. Insira o código a seguir (para fins de teste) e selecione o botão Publicar . Esta ação retorna o resultado da solicitação POST recebida.

param
(
[Parameter (Mandatory = $false)]
[object] $WebhookData
)

#If runbook was called from Webhook, WebhookData will not be null.
if ($WebhookData) {

#rotate secret:
#generate new secret version in key vault
#update db/service with generated secret

#Write-Output "WebhookData <$WebhookData>"
Write-Output $WebhookData.RequestBody
}
else
{
# Error
write-Error "No input data found." 
}

Criar um webhook

Crie um webhook para ativar o runbook que acabou de criar.

1. Selecione Webhooks na seção Recursos do runbook que você publicou.

2. Selecione Adicionar Webhook.

   

3. Selecione Criar novo Webhook.

4. Nomeie o webhook, defina uma data de validade e copie o URL.

   Importante

   Não é possível visualizar o URL depois de o criar. Certifique-se de salvar uma cópia em um local seguro onde você possa acessá-la para o restante deste guia.

5. Selecione Parâmetros e execute configurações e, em seguida, selecione OK. Não insira nenhum parâmetro. O botão Criar será ativado.

6. Selecione OK e, em seguida, selecione Criar.

   

Criar uma subscrição do Event Grid

Crie uma subscrição da Grelha de Eventos através do portal do Azure.

1. Aceda ao cofre das chaves e selecione o separador Eventos .

   

2. Selecione o botão Subscrição de Eventos .

3. Crie um nome descritivo para a assinatura.

4. Escolha Event Grid Schema (Esquema de grade de eventos).

5. O recurso de tópico deve ser o cofre de chaves que você deseja monitorar para alterações de status.

6. Para Filtrar para Tipos de Evento, deixe todas as opções selecionadas (9 selecionadas).

7. No Tipo de Ponto Final, selecione Webhook.

8. Escolha Selecionar um ponto de extremidade. No novo painel de contexto, cole a URL do webhook da etapa Criar um webhook no campo Ponto de extremidade do assinante .

9. Selecione Confirmar seleção no painel de contexto.

10. Selecione Criar.

    

Testar e verificar

Verifique se a sua subscrição da Grelha de Eventos está configurada corretamente. Este teste pressupõe que você tenha se inscrito na notificação "Nova versão secreta criada" na assinatura Criar uma grade de eventos e que tenha as permissões necessárias para criar uma nova versão de um segredo em um cofre de chaves.

1. Aceda ao cofre de chaves no portal do Azure.

2. Crie um novo segredo. Para fins de teste, defina a data de validade para o dia seguinte.

3. No separador Eventos no cofre das chaves, selecione a subscrição da Grelha de Eventos que criou.

4. Em Métricas, verifique se um evento foi capturado. Dois eventos são esperados: SecretNewVersion e SecretNearExpiry. Esses eventos validam que a Grade de Eventos capturou com êxito a alteração de status do segredo em seu cofre de chaves.

   

5. Aceda à sua conta de Automatização.

6. Selecione a guia Runbooks e, em seguida, selecione o runbook que você criou.

7. Selecione a guia Webhooks e confirme se o carimbo de data/hora "último acionado" está dentro de 60 segundos de quando você criou o novo segredo. Esse resultado confirma que a Grade de Eventos fez um POST no webhook com os detalhes do evento da alteração de status no cofre de chaves e que o webhook foi acionado.

   

8. Volte ao seu runbook e selecione a guia Visão geral .

9. Veja a lista de empregos recentes . Você verá que um trabalho foi criado e que o status está concluído. Isso confirma que o webhook acionou o runbook para começar a executar seu script.

   

10. Selecione a tarefa recente e veja a solicitação POST que foi enviada do Event Grid para o webhook. Examine o JSON e certifique-se de que os parâmetros do cofre de chaves e do tipo de evento estão corretos. Se o parâmetro "event type" no objeto JSON corresponder ao evento que ocorreu no cofre de chaves (neste exemplo, Microsoft.KeyVault.SecretNearExpiry), o teste foi bem-sucedido.

Solução de problemas

Não é possível criar uma subscrição de evento

Registre novamente a Grade de Eventos e o provedor do cofre de chaves em seus provedores de recursos de assinatura do Azure. Veja Fornecedores e tipos de recursos do Azure.

Próximos passos

Parabéns! Se você seguiu corretamente todas essas etapas, agora está pronto para responder programaticamente às alterações de status dos segredos armazenados no cofre de chaves.

Se você estiver usando um sistema baseado em sondagem para pesquisar alterações de status de segredos em seus cofres de chaves, agora você pode começar a usar esse recurso de notificação. Você também pode substituir o script de teste em seu runbook por código para renovar programaticamente seus segredos quando eles estiverem prestes a expirar.

Saiba mais:

• Visão Geral: Monitorização do Key Vault com o Azure Event Grid
• Como: Receber e-mails quando um segredo do cofre de chaves é alterado
• Esquema de eventos da Grade de Eventos do Azure para o Azure Key Vault
• Visão geral do Azure Key Vault
• Visão geral da Grade de Eventos do Azure
• Visão geral da Automação do Azure