通过电子邮件通知自动发出 Azure Key Vault 过期警报

通过自动化简化 Key Vault 过期管理

想象一下，一觉醒来收到一封电子邮件，确保您始终了解重要的 Azure Key Vault 资产即将到期。 📨 及时了解即将过期的机密、密钥和证书对于无缝操作和避免服务中断至关重要。

本文重点介绍如何在 Azure 自动化帐户中使用 PowerShell Runbook 自动通过电子邮件发送即将过期的 Key Vault 项目的每日或定期报告。它将脚本编写效率与主动通知的便利性结合在一起，确保您始终处于循环状态。

我们都经历过这种情况 - 手动检查多个 Key Vault 的过期日期可能很乏味且容易出错。通过所描述的自动化流程，您可以节省时间、最大限度地降低风险并轻松维护强大的安全实践。

在以下部分中，您将发现设置此自动化的分步方法，并提供逼真的示例和可靠电子邮件通知的最佳实践。让我们深入了解并简化您的 Azure Key Vault 监控之旅！ 🚀

命令	使用示例
Get-AzKeyVault	检索当前订阅中可用的所有 Azure Key Vault 的列表。这对于确定哪些 Key Vault 需要检查过期项目至关重要。
Get-AzKeyVaultSecret	获取存储在指定 Azure Key Vault 中的机密。它允许检查每个秘密的过期详细信息。
Check-Expiration	用于验证和提取过期日期的自定义 PowerShell 函数，确保正确处理空值。
Get-RemainingDays	另一个自定义 PowerShell 函数，用于计算给定到期日期之前的剩余天数。它简化了对即将过期的商品的过滤。
DefaultAzureCredential	Azure SDK 中的 Python 类，用于跨 Azure 服务进行安全身份验证，无需硬编码凭据。
list_properties_of_secrets	检索 Azure Key Vault 中所有机密的元数据，例如其名称和到期日期。该方法用于Python中的高效查询。
ConvertTo-Html	将 PowerShell 对象转换为 HTML 片段。这对于创建格式化的电子邮件正文非常有用。
Send-MailMessage	直接从 PowerShell 脚本发送电子邮件，通常用于需要通知的自动化任务。
MIMEText	“email.mime.text”模块中的 Python 类，可帮助将电子邮件内容格式化为纯文本，从而轻松发送详细通知。
SecretClient	用于与 Azure Key Vault 密钥交互的 Python 客户端对象。它提供了列出、检索和管理机密的安全方法。

自动发送 Key Vault 过期通知

提供的 PowerShell 脚本旨在简化识别和报告即将到期的 Azure Key Vault 机密、密钥和证书的过程。它首先利用 命令检索与您的帐户关联的所有 Azure 订阅的列表。这可确保该解决方案跨多个订阅工作，适应公司管理多个区域或账户资源的场景。例如，如果您的组织对开发、测试和生产有单独的订阅，则此脚本可以有效地涵盖所有这些内容。 🚀

检索到订阅后，脚本将使用以下命令设置每个订阅的上下文 。这可确保后续 API 调用在活动订阅的范围内执行。下一步涉及获取订阅中的所有 Key Vault 。此命令至关重要，因为它允许脚本动态适应 Key Vault 资源的更改，例如添加新保管库或重命名现有保管库。自动发现资源的灵活性减少了人工干预并节省了管理员的宝贵时间。

在每个 Key Vault 中，该脚本使用特定命令获取机密、密钥和证书，例如 , ， 和 。然后，它处理每个项目以确定其过期状态。自定义函数 检查-过期 和 是这个过程中不可或缺的一部分。这些函数会验证过期日期、计算剩余天数并筛选结果以仅包含 7 天内过期的项目。例如，可以提前识别生产环境中即将到期的 SSL 证书，从而防止潜在的停机或服务中断。 🛡️

结果被编译成一个数组，该数组被转换为结构化报告。该报告可以通过电子邮件发送 用于 PowerShell 或用于 Python 的 SMTP 库。该脚本的模块化设计和最佳实践的使用（例如异常处理和动态发现）使其强大且可重用。通过自动化通知，组织可以降低运营风险并保持对内部和外部标准的遵守。此过程不仅提高了效率，而且让您高枕无忧，确保不会无意中忽视任何关键资源。

# Import necessary modules
Import-Module Az.Accounts
Import-Module Az.KeyVault
Import-Module Az.Automation
# Initialize a collection for expiration details
$expirationDetails = @()
# Get all subscriptions
$subscriptions = Get-AzSubscription
# Loop through each subscription
foreach ($subscription in $subscriptions) {
    Set-AzContext -SubscriptionId $subscription.Id
    $keyVaults = Get-AzKeyVault
    foreach ($keyVault in $keyVaults) {
        $secrets = Get-AzKeyVaultSecret -VaultName $keyVault.VaultName
        foreach ($secret in $secrets) {
            $expirationDate = $secret.Expires
            if ($expirationDate -and ($expirationDate - (Get-Date)).Days -le 7) {
                $expirationDetails += [PSCustomObject]@{
                    SubscriptionName = $subscription.Name
                    VaultName = $keyVault.VaultName
                    SecretName = $secret.Name
                    ExpirationDate = $expirationDate
                }
            }
        }
    }
}
# Send email using SendGrid or SMTP
$emailBody = $expirationDetails | ConvertTo-Html -Fragment
Send-MailMessage -To "your.email@example.com" -From "automation@example.com" -Subject "Key Vault Expirations" -Body $emailBody -SmtpServer "smtp.example.com"

import os
from azure.identity import DefaultAzureCredential
from azure.mgmt.keyvault import KeyVaultManagementClient
from azure.keyvault.secrets import SecretClient
from datetime import datetime, timedelta
import smtplib
from email.mime.text import MIMEText
# Authentication and setup
credential = DefaultAzureCredential()
subscription_id = os.getenv("AZURE_SUBSCRIPTION_ID")
kv_client = KeyVaultManagementClient(credential, subscription_id)
key_vaults = kv_client.vaults.list()
# Initialize email content
email_body = ""
for vault in key_vaults:
    vault_url = f"https://{vault.name}.vault.azure.net"
    secret_client = SecretClient(vault_url=vault_url, credential=credential)
    secrets = secret_client.list_properties_of_secrets()
    for secret in secrets:
        if secret.expires_on:
            remaining_days = (secret.expires_on - datetime.now()).days
            if 0 <= remaining_days <= 7:
                email_body += f"Vault: {vault.name}, Secret: {secret.name}, Expires in: {remaining_days} days\n"
# Send email
msg = MIMEText(email_body)
msg['Subject'] = "Expiring Azure Key Vault Secrets"
msg['From'] = "automation@example.com"
msg['To'] = "your.email@example.com"
with smtplib.SMTP('smtp.example.com', 587) as server:
    server.starttls()
    server.login("automation@example.com", "password")
    server.send_message(msg)

通过强大的通知系统增强 Azure 自动化

Azure 自动化帐户是有效管理和监控云资源的强大工具。一项较少探索的功能是集成关键更新的通知，例如过期的 Key Vault 机密。通过利用自动化，企业可以主动解决这些过期问题，从而降低证书失败或安全漏洞等风险。添加通知层可确保无缝操作，尤其是在处理跨多个存储的敏感凭据时 。

实施该解决方案的一个重要方面涉及确定通知的最佳传递机制。虽然电子邮件是最常见的媒介，但与 Microsoft Teams 或 Slack 等消息传递平台的集成可以进一步增强可见性。例如，有关共享 Teams 频道中的过期机密的每日通知可确保多个利益相关者了解情况。同样，使用 Power Automate 等工具可以帮助根据问题的严重性动态路由消息。 🚀

最后，在设计此类系统时，安全性和可扩展性至关重要。必须严格实施访问控制，以避免未经授权执行自动化脚本。在 Azure 中使用托管身份可以简化身份验证，同时确保最大限度地减少凭据暴露。此外，在自动化帐户中启用日志记录和监控可以提供一种可靠的方法来审核通知系统并对其进行故障排除。这些实践的结合使自动化不仅带来便利，而且成为保持卓越运营的强大策略。 🔒

1. Azure 自动化帐户的主要用途是什么？
2. Azure 自动化帐户允许你使用自动化流程管理云资源，例如运行计划的脚本或工作流。
3. 如何安全地验证我的 PowerShell 脚本？
4. 您可以使用 Azure 中的托管身份，它为您的脚本提供安全、无凭据的身份验证。
5. 什么命令可以从 Key Vault 中获取所有机密？
6. 这 命令从指定的 Azure Key Vault 检索所有机密。
7. 如何从 PowerShell 脚本发送电子邮件？
8. 使用 命令，您可以配置 SMTP 服务器以从脚本发送自动电子邮件。
9. 我可以向电子邮件以外的平台发送通知吗？
10. 是的，您可以使用以下工具与 Microsoft Teams 或 Slack 等消息传递平台集成 或直接API调用。
11. 监控自动化帐户运行的最佳方法是什么？
12. 在 Azure Monitor 中启用日志记录或配置 Log Analytics，以详细了解 Runbook 的性能和故障。
13. Azure 自动化帐户有任何限制吗？
14. 自动化帐户对作业和 Runbook 有配额。检查您的使用情况以确保满足企业需求的可扩展性。
15. 如何过滤在特定时间范围内过期的机密？
16. 使用自定义函数，例如 根据到期日期计算和过滤结果。
17. 我可以为多个订阅自动执行此操作吗？
18. 是的， 命令允许您迭代所有订阅并统一应用脚本。
19. 为了安全我应该采取哪些预防措施？
20. 使用基于角色的访问控制 (RBAC) 并将对自动化帐户和 Key Vault 的访问限制为仅授权用户。

通过实施此自动化解决方案，企业可以确保及时收到过期 Azure Key Vault 项目的警报。这种主动方法有助于防止运营中断，例如证书过期导致停机。通过动态脚本，任何组织的任务都变得无缝且可扩展。

除了节省时间之外，此方法还通过维护最新资源来增强安全性。自动化脚本不仅可以减少人为错误，还可以集中监控多个订阅。组织可以信任该系统来保持信息灵通和安全。 🔒