نقاط نهاية خدمة الشبكة الظاهرية لـ Azure Key Vault

  • مقالة

تتيح لك نقاط نهاية خدمة الشبكة الظاهرية لـ Azure Key Vault تقييد الوصول إلى شبكة افتراضية محددة. تسمح لك نقاط النهاية أيضاً بتقييد الوصول إلى قائمة نطاقات عناوين IPv4 (إصدار بروتوكول الإنترنت 4). يتم رفض وصول أي مستخدم يتصل بخزنة المفاتيح من خارج تلك المصادر.

هناك استثناء واحد مهم لهذا القيد. إذا وافق المستخدم على السماح بخدمات Microsoft الموثوقة، فسيتم السماح للاتصالات من هذه الخدمات عبر جدار الحماية. على سبيل المثال، تتضمن هذه الخدمات Office 365 Exchange Online وOffice 365 SharePoint Online وAzure Compute وAzure Resource Manager وAzure Backup. لا يزال هؤلاء المستخدمون بحاجة إلى تقديم رمز مميز صالح ل Microsoft Entra، ويجب أن يكون لديهم أذونات (تم تكوينها كنهج وصول) لتنفيذ العملية المطلوبة. لمزيد من المعلومات، راجع نقاط نهاية خدمة الشبكة الظاهرية .

سيناريوهات الاستخدام

يمكنك تكوين جدران الحماية في Key Vault والشبكات الافتراضية لرفض الوصول إلى حركة المرور من جميع الشبكات (بما في ذلك حركة المرور على الإنترنت) بشكل افتراضي. يمكنك منح الوصول إلى حركة المرور من شبكات Azure الظاهرية ونطاقات عناوين IP العامة للإنترنت، مما يسمح لك بإنشاء حدود شبكة آمنة لتطبيقاتك.

إشعار

تنطبق جدران الحماية في Key Vault وقواعد الشبكة الافتراضية فقط على مستوى البيانات في Key Vault. لا تتأثر عمليات وحدة التحكم في Key Vault (مثل إنشاء العمليات وحذفها وتعديلها وتعيين سياسات الوصول وتعيين جدران الحماية وقواعد الشبكة الافتراضية ونشر الأسرار أو المفاتيح من خلال قوالب ARM) بجدران الحماية وقواعد الشبكة الافتراضية.

فيما يلي بعض الأمثلة حول كيفية استخدام نقاط نهاية الخدمة:

  • أنت تستخدم Key Vault لتخزين مفاتيح التشفير وأسرار التطبيق والشهادات، وتريد حظر الوصول إلى خزنة المفاتيح من الإنترنت العام.
  • تريد تأمين الوصول إلى خزنة المفاتيح الخاصة بك بحيث لا يتمكن سوى التطبيق الخاص بك، أو قائمة قصيرة من المضيفين المعينين، من الاتصال بخزينة المفاتيح الخاصة بك.
  • لديك تطبيق قيد التشغيل في شبكة Azure الافتراضية الخاصة بك، وهذه الشبكة الافتراضية مؤمنة لجميع حركات المرور الواردة والصادرة. لا يزال تطبيقك بحاجة إلى الاتصال بـKey Vault لجلب الأسرار أو الشهادات، أو استخدام مفاتيح التشفير.

منح حق الوصول إلى خدمات Azure الموثوق بها

يمكنك منح حق الوصول إلى خدمات Azure الموثوق بها إلى مخزن المفاتيح، مع الحفاظ على قواعد الشبكة للتطبيقات الأخرى. ستستخدم هذه الخدمات الموثوق بها مصادقة قوية للاتصال بأمان بخزنة المفاتيح الخاصة بك.

يمكنك منح حق الوصول إلى خدمات Azure الموثوق بها عن طريق تكوين إعدادات الشبكات. للحصول على إرشادات خطوة بخطوة، راجع خيارات تكوين الشبكة لهذه المقالة.

عند منحك حق الوصول إلى خدمات Azure الموثوقة، فإنك تمنح الأنواع التالية من حق الوصول:

  • وصول موثوق به لعمليات محددة إلى الموارد المسجلة في اشتراكك.
  • الوصول الموثوق إلى الموارد بناءً على الهوية المدارة.
  • الوصول الموثوق به عبر المستأجرين باستخدام بيانات اعتماد الهوية الموحدة

خدمات موثوقة

فيما يلي قائمة بالخدمات الموثوقة المسموح لها بالوصول إلى خزنة المفاتيح إذا تم تمكين الخيار السماح بالخدمات الموثوقة .

خدمة موثوق بها سيناريوهات الاستخدام المعتمدة
إدارة Azure API نشر الشهادات للمجال المخصص من Key Vault باستخدام MSI
"Azure App Service" خدمة التطبيقات هي خدمة موثوق بها لنشر شهادة تطبيق الويب من Azure من خلال Key Vault فقط، أمّا بالنسبة للتطبيق الفردي نفسه، يمكن إضافة عناوين IP الصادرة في قواعد Key Vault المستندة إلى IP
Azure Application Gateway استخدام شهادات Key Vault للمستمعين الذين يدعمون HTTPS
النسخ الاحتياطي في Azure اسمح بالنسخ الاحتياطي واستعادة المفاتيح والأسرار ذات الصلة أثناء النسخ الاحتياطي للأجهزة الظاهرية في Azure، باستخدام Azure Backup .
Azure Batch تكوين المفاتيح المدارة من قبل العملاء لحسابات الدفعات وKey Vault لحسابات دفعة اشتراك المستخدم
Azure Bot Service تشفير Azure الذكاء الاصطناعي Bot Service للبيانات الثابتة
Azure CDN كوِّن HTTPS على مجال Azure CDN المخصص: امنح Azure وصول CDN إلى مخزن المفاتيح الخاص بك
Azure Container Registry تشفير السجل باستخدام مفاتيح يديرها العميل
Azure Data Factory جلب بيانات اعتماد مخزن البيانات في Key Vault من Data Factory
Azure Data Lake Store تشفير البيانات في Azure Data Lake Store باستخدام مفتاح يديره العميل.
قاعدة بيانات Azure لخادم MySQL الفردي تشفير البيانات لقاعدة بيانات Azure لخادم MySQL الفردي
خادم Azure Database for MySQL Flexible تشفير البيانات لقاعدة بيانات Azure لخادم MySQL المرن
قاعدة بيانات Azure لخادم PostgreSQL الأحادي تشفير البيانات لقاعدة بيانات Azure لخادم PostgreSQL الأحادي
خادم Azure Database for PostgreSQL المرن تشفير البيانات لقاعدة بيانات Azure لخادم PostgreSQL المرن
Azure Databricks خدمة تحليلات قائمة على Apache Spark سريعة وسهلة وتعاونية
خدمة تشفير وحدة تخزين Azure Disk Encryption اسمح بالوصول إلى BitLocker Key (Windows VM) أو DM Passphrase (Linux VM)، ومفتاح تشفير المفتاح، أثناء نشر الجهاز الظاهري. يتيح ذلك Azure Disk Encryption.
Azure Disk Storage عند تكوينه باستخدام مجموعة تشفير القرص (DES). لمزيد من المعلومات، راجع التشفير من جانب الخادم لـ Azure Disk Storage باستخدام مفاتيح يديرها العميل.
مراكز أحداث Azure السماح بالوصول إلى خزنة المفاتيح لسيناريو المفاتيح المُدارة بواسطة العميل
Azure ExpressRoute عند استخدام MACsec مع ExpressRoute Direct
Azure Firewall Premium شهادات Azure Firewall Premium
Azure Front Door كلاسيكي استخدام شهادات Key Vault لـHTTPS
Azure Front Door قياسي/متميز استخدام شهادات Key Vault لـHTTPS
خدمة استيراد/تصدير Azure استخدام المفاتيح المُدارة من قِبل العميل في Azure Key Vault لخدمة الاستيراد / التصدير
حماية البيانات في Azure السماح بالوصول إلى مفتاح المستأجر لـ حماية معلومات Azure.
التعلم الآلي من Azure التعلم الآلي الآمن من Microsoft Azure في شبكة ظاهرية
فحص نهج Azure نهج وحدة التحكم للبيانات السرية والمفاتيح المخزنة في مستوى البيانات
خدمة نشر قالب Azure Resource Manager قم بتمرير قيم آمنة أثناء النشر .
ناقل خدمة Azure السماح بالوصول إلى خزنة المفاتيح لسيناريو المفاتيح المُدارة بواسطة العميل
قاعدة بيانات Azure SQL تشفير بيانات شفاف مع دعم مفتاحك الخاص لقاعدة بيانات Azure SQL وAzure Synapse Analytics .
تخزين Azure تشفير خدمة التخزين باستخدام مفاتيح يديرها العميل في Azure Key Vault .
Azure Synapse Analytics تشفير البيانات باستخدام مفاتيح يديرها العميل في Azure Key Vault
خدمة نشر الأجهزة الظاهرية Azure نشر الشهادات على الأجهزة الافتراضية من Key Vault المُدار بواسطة العميل .
Exchange Online, SharePoint Online, M365DataAtRestEncryption السماح بالوصول إلى المفاتيح المدارة من قبل العميل لتشفير البيانات في حالة الثبات باستخدام مفتاح العميل.
Microsoft Purview استخدام بيانات الاعتماد لمصادقة المصدر في Microsoft Purview

إشعار

يجب إعداد تعيينات دور Key Vault RBAC ذات الصلة أو نهج الوصول (القديمة) للسماح للخدمات المقابلة بالوصول إلى Key Vault.

الخطوات التالية