تكوين إعدادات شبكة Azure Key Vault

ستوفر لك هذه المقالة إرشادات حول كيفية تكوين إعدادات شبكة Azure Key Vault للعمل مع التطبيقات الأخرى وخدمات Azure. للتعرف على تكوينات أمان الشبكة المختلفة بالتفصيل، اقرأ هنا.

إليك إرشادات خطوة بخطوة لتكوين جدار حماية Key Vault والشبكات الظاهرية باستخدام مدخل Microsoft Azure وAzure CLI وAzure PowerShell

المدخل

1. استعرض للوصول إلى المخزن الرئيسي الذي تريد تأمينه.
2. حدد Networking، ثم حدد علامة التبويب Firewalls and virtual networks.
3. ضمن السماح بالوصول من، حدد الشبكات المحددة.
4. لإضافة الشبكات الظاهرية الموجودة إلى جدران الحماية وقواعد الشبكة الظاهرية، حدد + Add existing virtual networks.
5. في الجزء الجديد الذي يفتح، حدد الاشتراك والشبكات الظاهرية والشبكات الفرعية التي تريد السماح بالوصول إلى المخزن الرئيسي هذا. إذا لم تكن الشبكات الظاهرية والشبكات الفرعية التي تحددها ممكنة، فتأكَّد من رغبتك في تمكين نقاط نهاية الخدمة، وحدد Enable. قد يستغرق الأمر ما يصل إلى 15 دقيقة حتى يصبح مفعلاً.
6. ضمن IP Networks، إضافة نطاقات عناوين IPv4 بكتابة نطاقات عناوين IPv4 في تعليق CIDR (توجيه بين المجالات اللاطبقي) أو عناوين IP الفردية.
7. إذا كنت تريد السماح لخدمات Microsoft الموثوق بها بتجاوز جدار حماية Key Vault، فحدد "نعم". للحصول على قائمة كاملة بالخدمات الموثوق بها في Key Vault الحالي، يُرجى الاطلاع على الرابط التالي. خدمات Azure Key Vault الموثوق بها
8. حدد ⁧⁩حفظ⁧⁩.

يمكنك أيضا إضافة شبكات ظاهرية وشبكات فرعية جديدة، ثم تمكين نقاط نهاية الخدمة للشبكات الظاهرية والشبكات الفرعية التي تم إنشاؤها حديثًا، عن طريق تحديد + Add new virtual network. ثم اتبع المطالبات.

Azure CLI

وإليك كيفية تكوين جدران حماية Key Vault والشبكات الظاهرية باستخدام Azure CLI

1. تثبيت Azure CLI وتسجيل الدخول.

2. سرد قواعد الشبكة الظاهرية المتوفرة. إذا لم تكن قد وضعت أي قواعد للمخزن الرئيسي هذا، فستكون القائمة فارغة.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. تمكين نقطة نهاية خدمة لـ Key Vault على شبكة ظاهرية وشبكة فرعية موجودة.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. إضافة نطاق عنوان IP للسماح بحركة المرور منه.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. إذا كان يجب أن يكون هذا المخزن الرئيسي متاحًا من قبل أي خدمات موثوق بها، فقم بتعيين bypass إلى AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. تشغيل قواعد الشبكة عن طريق تعيين الإجراء الافتراضي إلى Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

ملاحظة

نوصي باستخدام وحدة Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

وإليك كيفية تكوين جدران حماية Key Vault والشبكات الظاهرية باستخدام PowerShell:

1. تثبيت أحدث Azure PowerShell، وتسجيل الدخول.

2. سرد قواعد الشبكة الظاهرية المتوفرة. إذا لم تقم بتعيين أي قواعد للمخزن الرئيسي هذا، فستكون القائمة فارغة.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. تمكين نقطة نهاية الخدمة لـ Key Vault على شبكة ظاهرية وشبكة فرعية موجودة.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. إضافة نطاق عنوان IP للسماح بحركة المرور منه.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. إذا كان يجب أن يكون هذا المخزن الرئيسي متاحًا من قبل أي خدمات موثوق بها، فقم بتعيين bypass إلى AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. تشغيل قواعد الشبكة عن طريق تعيين الإجراء الافتراضي إلى Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

المراجع

• مرجع قالب ARM: مرجع قالب ARM لـ Azure Key Vault
• أوامر Azure CLI: az keyvault network-rule
• Azure PowerShell cmdlets: Get-AzKeyVault وAdd-AzKeyVaultNetworkRule وRemove-AzKeyVaultNetworkRule وUpdate-AzKeyVaultNetworkRuleSet

الخطوات التالية

• نقاط نهاية خدمة الشبكة الظاهرية للمخزن الرئيسي
• نظرة عامة على أمان Azure Key Vault