Snippets

Snippet KQL : diagnostiquer un refus Key Vault avec identité managée

Une requête courte pour distinguer refus identité, chemin réseau et adresse source quand un workload Azure n’accède plus à Key Vault.

07 juin 2026 kqlidentityazurelogsmonitoringprivate-endpointrunbook

Quand une identité managée ne lit plus Key Vault, commence par les logs de refus avant d’élargir les permissions. Le but est de vérifier l’identité, l’opération et l’adresse source dans la même fenêtre.

kusto managed-identity-keyvault-denied.kql

let Window = 6h;
AzureDiagnostics
| where TimeGenerated > ago(Window)
| where ResourceProvider == "MICROSOFT.KEYVAULT"
| where ResultType !in ("Success", "Succeeded")
| project TimeGenerated,
        Resource,
        OperationName,
        ResultType,
        ResultSignature,
        CallerIPAddress,
        Identity=tostring(Identity),
        ClientRequestId
| order by TimeGenerated desc

Lecture rapide : identité inattendue, revenir au principal assigné au workload ; adresse source publique, contrôler DNS privé et Private Endpoint ; identité et réseau cohérents, vérifier RBAC ou access policy minimale.