Koncové body služby Azure Key Vault pro virtuální síť

Koncové body služby virtuální sítě pro Azure Key Vault umožňují omezit přístup k zadané virtuální síti. Koncové body také umožňují omezit přístup k seznamu rozsahů adres IPv4 (internet protocol version 4). Přístup byl odepřen všem uživatelům, kteří se připojují k trezoru klíčů mimo tyto zdroje.

Toto omezení má jednu důležitou výjimku. Pokud se uživatel přihlásil k povolení důvěryhodných služby Microsoft, umožňují připojení z těchto služeb bránu firewall. Mezi tyto služby patří například Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager a Azure Backup. Tito uživatelé stále potřebují předložit platný token Microsoft Entra a musí mít oprávnění (nakonfigurovaná jako zásady přístupu) k provedení požadované operace. Další informace najdete v tématu Koncové body služby virtuální sítě.

Scénáře použití

Ve výchozím nastavení můžete nakonfigurovat brány firewall služby Key Vault a virtuální sítě tak, aby odepřely přístup k provozu ze všech sítí (včetně internetového provozu). Můžete udělit přístup k provozu z konkrétních virtuálních sítí Azure a rozsahů veřejných internetových IP adres, což vám umožní vytvořit pro své aplikace zabezpečenou hranici sítě.

Poznámka:

Brány firewall služby Key Vault a pravidla virtuální sítě se vztahují pouze na rovinu dat služby Key Vault. Operace řídicí roviny služby Key Vault (například operace vytvoření, odstranění a úpravy, nastavení zásad přístupu, nastavení bran firewall a pravidel virtuální sítě a nasazení tajných kódů nebo klíčů prostřednictvím šablon ARM) nemají vliv na brány firewall a pravidla virtuální sítě.

Tady je několik příkladů, jak můžete používat koncové body služby:

• K ukládání šifrovacích klíčů, tajných kódů aplikací a certifikátů používáte službu Key Vault a chcete blokovat přístup k trezoru klíčů z veřejného internetu.
• Chcete uzamknout přístup k trezoru klíčů, aby se k trezoru klíčů mohl připojit jenom aplikace nebo krátký seznam určených hostitelů.
• Máte ve virtuální síti Azure spuštěnou aplikaci a tato virtuální síť je uzamčená pro veškerý příchozí a odchozí provoz. Vaše aplikace se stále potřebuje připojit ke službě Key Vault, aby načítá tajné kódy nebo certifikáty, nebo používala kryptografické klíče.

Udělení přístupu k důvěryhodným službám Azure

Přístup k důvěryhodným službám Azure můžete udělit trezoru klíčů a přitom zachovat pravidla sítě pro jiné aplikace. Tyto důvěryhodné služby pak budou k zabezpečenému připojení k trezoru klíčů používat silné ověřování.

Přístup k důvěryhodným službám Azure můžete udělit konfigurací nastavení sítě. Podrobné pokyny najdete v možnostech konfigurace sítě v tomto článku.

Když udělíte přístup k důvěryhodným službám Azure, udělíte následující typy přístupu:

• Důvěryhodný přístup pro výběrové operace k prostředkům registrovaným ve vašem předplatném.
• Důvěryhodný přístup k prostředkům na základě spravované identity
• Důvěryhodný přístup mezi tenanty pomocí přihlašovacích údajů federované identity

Důvěryhodné služby

Tady je seznam důvěryhodných služeb, které mají povolený přístup k trezoru klíčů, pokud je povolená možnost Povolit důvěryhodné služby .

Důvěryhodná služba	Podporované scénáře použití
Azure API Management	Nasazení certifikátů pro vlastní doménu ze služby Key Vault pomocí MSI
Azure App Service	Služba App Service je důvěryhodná jenom pro nasazení certifikátu webové aplikace Azure prostřednictvím služby Key Vault, pro samostatnou aplikaci je možné přidat odchozí IP adresy v pravidlech založených na IP adresách služby Key Vault.
Azure Application Gateway	Použití certifikátů služby Key Vault pro naslouchací procesy s povoleným protokolem HTTPS
Azure Backup	Povolte zálohování a obnovení relevantních klíčů a tajných kódů během zálohování virtuálních počítačů Azure pomocí služby Azure Backup.
Azure Batch	Konfigurace klíčů spravovaných zákazníkem pro účty Batch a Key Vault pro účty Batch předplatného uživatele
Azure Bot Service	Šifrování služby Azure AI Bot Service pro neaktivní uložená data
Azure CDN	Konfigurace HTTPS pro vlastní doménu Azure CDN: Udělení přístupu k trezoru klíčů Azure CDN
Azure Container Registry	Šifrování registru s využitím klíčů spravovaných zákazníkem
Azure Data Factory	Načtení přihlašovacích údajů úložiště dat ve službě Key Vault ze služby Data Factory
Azure Data Lake Store	Šifrování dat v Azure Data Lake Store pomocí klíče spravovaného zákazníkem
Jednoúčelový server Azure Database for MySQL	Šifrování dat pro jednoúčelový server Azure Database for MySQL
Flexibilní server Azure Database for MySQL	Šifrování dat pro flexibilní server Azure Database for MySQL
Jednoúčelový server Azure Database for PostgreSQL	Šifrování dat pro jednoúčelový server Azure Database for PostgreSQL
Flexibilní server Azure Database for PostgreSQL	Šifrování dat pro flexibilní server Azure Database for PostgreSQL
Azure Databricks	Rychlá, snadná a společnou analytická služba založená na Apache Sparku
Služba šifrování svazků Azure Disk Encryption	Povolit přístup k klíči BitLockeru (virtuálnímu počítači s Windows) nebo přístupové heslo DM (virtuální počítač s Linuxem) a šifrovacímu klíči klíče během nasazování virtuálního počítače. To umožňuje službu Azure Disk Encryption.
Azure Disk Storage	Při konfiguraci sady šifrování disku (DES). Další informace najdete v tématu Šifrování Azure Disk Storage na straně serveru pomocí klíčů spravovaných zákazníkem.
Azure Event Hubs	Povolení přístupu k trezoru klíčů pro scénář klíčů spravovaných zákazníkem
Azure ExpressRoute	Při použití MACsec s ExpressRoute Direct
Azure Firewall Premium	Certifikáty Služby Azure Firewall Premium
Azure Front Door Classic	Použití certifikátů služby Key Vault pro HTTPS
Azure Front Door Standard/Premium	Použití certifikátů služby Key Vault pro HTTPS
Azure Import/Export	Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro službu Import/Export
Azure Information Protection	Povolte přístup k klíči tenanta pro Azure Information Protection.
Azure Machine Learning	Zabezpečení Učení Azure Machine ve virtuální síti
Prohledávání služby Azure Policy	Zásady řídicí roviny pro tajné kódy, klíče uložené v rovině dat
Služba nasazení šablony Azure Resource Manageru	Předání zabezpečených hodnot během nasazení
Azure Service Bus	Povolení přístupu k trezoru klíčů pro scénář klíčů spravovaných zákazníkem
Azure SQL Database	transparentní šifrování dat s podporou přineste si vlastní klíč pro Azure SQL Database a Azure Synapse Analytics.
Azure Storage	Šifrování služby Storage pomocí klíčů spravovaných zákazníkem ve službě Azure Key Vault
Azure Synapse Analytics	Šifrování dat pomocí klíčů spravovaných zákazníkem ve službě Azure Key Vault
Služba nasazení Azure Virtual Machines	Nasaďte certifikáty do virtuálních počítačů ze služby Key Vault spravované zákazníkem.
Exchange Online, SharePoint Online, M365DataAtRestEncryption	Povolte přístup ke klíčům spravovaným zákazníkem pro šifrování neaktivních uložených dat pomocí klíče zákazníka.
Microsoft Purview	Použití přihlašovacích údajů pro ověřování zdroje v Microsoft Purview

Poznámka:

Musíte nastavit příslušná přiřazení rolí RBAC služby Key Vault nebo zásady přístupu (starší verze), aby odpovídající služby mohly získat přístup ke službě Key Vault.

Další kroky

• Podrobné pokyny najdete v tématu Konfigurace bran firewall služby Azure Key Vault a virtuálních sítí.
• Přehled zabezpečení služby Azure Key Vault