Aller au contenu principal

Azure Key Vault

Vue d'ensemble​

Azure Key Vault est un service cloud permettant de stocker les secrets et d’y accéder en toute sécurité. Un secret est un élément pour lequel vous voulez contrôler étroitement l’accès. Il peut s’agir de clés d’API, de mots de passe, de certificats ou de clés de chiffrement. Le service Key Vault prend en charge deux types de conteneurs : les coffres et les pools HSM managés. Les coffres prennent en charge le stockage des clés logicielles et sauvegardées avec HSM, les secrets et les certificats. Les pools HSM managés prennent uniquement en charge les clés sauvegardées avec HSM.

Le connecteur de supervision Centreon Azure Key Vault s'appuie sur les API Azure Monitor afin de récuperer les métriques relatives au service Key Vault. Il est possible d'utiliser les 2 modes proposés par Microsoft: RestAPI ou Azure CLI.

Contenu du connecteur de supervision​

Objets supervisés​

  • Instances Azure Key Vault

Règles de découverte​

Le connecteur de supervision Centreon Azure Key Vault inclut un provider de découverte d'Hôtes nommé Microsoft Azure Key Vault. Celui-ci permet de découvrir l'ensemble des Key Vaults rattachés à une souscription Microsoft Azure donnée:

image

La découverte Azure Key Vault n'est compatible qu'avec le mode 'api'. Le mode 'azcli' n'est pas supporté dans le cadre de cette utilisation.

Vous trouverez plus d'informations sur la découverte d'Hôtes et son fonctionnement sur la documentation du module: Découverte des hôtes

Métriques & statuts collectés​

Metric nameDescriptionUnit
keyvault.serviceapi.hits.countTotal Service Api HitsCount
keyvault.serviceapi.latency.millisecondsOverall Service Api LatencyB
keyvault.serviceapi.results.countTotal Service Api ResultsCount

Prérequis​

Rendez-vous sur la documentation dédiée afin d'obtenir les prérequis nécessaires pour interroger les API d'Azure.

Installation​

  1. Installer le Plugin sur tous les collecteurs Centreon devant superviser des resources Azure Key Vault:
yum install centreon-plugin-Cloud-Azure-Security-KeyVault-Api
  1. Sur l'interface Web de Centreon, installer le connecteur de supervision Azure Key Vault depuis la page Configuration > Gestionnaire de connecteurs de supervision

Configuration​

Hôte​

  • Ajoutez un HĂ´te Ă  Centreon, remplissez le champ Adresse IP/DNS avec l'adresse 127.0.0.1 et appliquez-lui le Modèle d'HĂ´te Cloud-Azure-Security-KeyVault-custom.
  • Une fois le modèle appliquĂ©, les Macros ci-dessous indiquĂ©es comme requises (Mandatory) doivent ĂŞtre renseignĂ©es selon le custom-mode utilisĂ©:
MandatoryNomDescription
XAZURECUSTOMMODECustom mode 'api'
XAZURESUBSCRIPTIONSubscription ID
XAZURETENANTTenant ID
XAZURECLIENTIDClient ID
XAZURECLIENTSECRETClient secret
XAZURERESOURCEId of the Key Vault resource

FAQ​

Comment puis-je tester le Plugin et que signifient les options des commandes ?​

Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis votre collecteur Centreon en vous connectant avec l'utilisateur centreon-engine:

/usr/lib/centreon/plugins/centreon_azure_security_keyvault_api.pl \
--plugin=cloud::azure::security::keyvault::plugin \
--mode=vault-availability \
--custommode=api \
--subscription='xxxxxxxxx' \
--tenant='xxxxxxxxx' \
--client-id='xxxxxxxxx' \
--client-secret='xxxxxxxxx' \
--resource='KEY001ABCD' \
--timeframe='900' \
--interval='PT5M' \
--aggregation='average' \
--warning-vault-availability-percentage='100:' \
--critical-vault-availability-percentage='50:'

La commande devrait retourner un message de sortie similaire Ă :

OK: Instance 'KEY001ABCD' Statistic 'average' Metrics Overall Vault Availability: 100.00% |
'KEY001ABCD~average#keyvault.vault.availability.percentage'=100.00%;100:;50:;0;100

La commande ci-dessus vérifie la disponibilité (availability) de l'instance Key Vault nommée KEY001ABCD (--plugin=cloud::azure::security::keyvault::plugin --mode=vault-availability --resource='IPA001ABCD').

Le mode de connexion utilisé est 'api' (--custommode=api), les paramètres d'authentification nécessaires à l'utilisation de ce mode sont donc renseignés en fonction (--subscription='xxxxxxxxx' --tenant='xxxxxxx' --client-id='xxxxxxxx' --client-secret='xxxxxxxxxx').

Les métriques retournées seront une moyenne (--aggregation='average') sur un intervalle de 15 minutes / 900 secondes (--timeframe='900') avec un point par tranche de 5 minutes (--interval='PT5M').

Dans cet exemple, une alarme de type WARNING sera déclenchée si le taux de disponibilité de l'instance pendant l'intervalle donné est inférieur à 100% (--warning-vault-availability-percentage='100:'); l'alarme sera de type CRITICAL en dessous de 50% de taux de disponibilité (--critical-vault-availability-percentage='50:').

La liste de toutes les options complémentaires et leur signification peut être affichée en ajoutant le paramètre --help à la commande:

/usr/lib/centreon/plugins/centreon_azure_network_publicip_api.pl \
--plugin=cloud::azure::security::keyvault::plugin \
--mode=vault-availability \
--help

Diagnostic des erreurs communes​

Les identifiants ont changé et mon Plugin ne fonctionne plus​

Le Plugin utilise un fichier de cache pour conserver les informations de connexion afin de ne pas se ré-authentifier à chaque appel. Si des informations sur le Tenant, la Souscription ou les Client ID / Secret changent, il est nécessaire de supprimer le fichier de cache du Plugin.

Celui ci se trouve dans le répertoire /var/lib/centreon/centplugins/ avec le nom azureapi<md5>_<md5>_<md5>_<md5>.

UNKNOWN: Login endpoint API returns error code 'ERROR_NAME' (add --debug option for detailed message)​

Lors du déploiement de mes contrôles, j'obtiens le message suivant : UNKNOWN: Login endpoint API returns error code 'ERROR_NAME' (add --debug option for detailed message).

Cela signifie que l'un des paramètres utilisés pour authentifier la requête est incorrect. Le paramètre en question est spécifié dans le message d'erreur en lieu et place de 'ERROR_DESC'.

Par exemple, 'invalid_client' signifie que le client-id et/ou le client-secret n'est (ne sont) pas valide(s).

UNKNOWN: 500 Can't connect to login.microsoftonline.com:443​

Si l'utilisation d'un proxy est requise pour les connexions HTTP depuis le collecteur Centreon, il est nécessaire de le préciser dans la commande en utilisant l'option --proxyurl='http://proxy.mycompany.com:8080'.

Il est également possible qu'un équipement tiers de type Pare-feu bloque la requête effectuée par le Plugin.

UNKNOWN: No metrics. Check your options or use --zeroed option to set 0 on undefined values​

Lors du déploiement de mes contrôles, j'obtiens le message suivant 'UNKNOWN: No metrics. Check your options or use --zeroed option to set 0 on undefined values'.

Cela signifie qu'Azure n'a pas consolidé de données sur la période.

Vous pouvez ajouter --zeroed Ă  la macro EXTRAOPTIONS du service en question afin de forcer le stockage d'un 0 et ainsi Ă©viter un statut UNKNOWN.