Sdílet prostřednictvím

Koncové body služby Azure Key Vault pro virtuální síť

  • Článek

Koncové body služby virtuální sítě pro Azure Key Vault umožňují omezit přístup k zadané virtuální síti. Koncové body také umožňují omezit přístup k seznamu rozsahů adres IPv4 (internet protocol version 4). Přístup byl odepřen všem uživatelům, kteří se připojují k trezoru klíčů mimo tyto zdroje.

Toto omezení má jednu důležitou výjimku. Pokud se uživatel přihlásil k povolení důvěryhodných služby Microsoft, umožňují připojení z těchto služeb bránu firewall. Mezi tyto služby patří například Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager a Azure Backup. Tito uživatelé stále potřebují předložit platný token Microsoft Entra a musí mít oprávnění (nakonfigurovaná jako zásady přístupu) k provedení požadované operace. Další informace najdete v tématu Koncové body služby virtuální sítě.

Scénáře použití

Ve výchozím nastavení můžete nakonfigurovat brány firewall služby Key Vault a virtuální sítě tak, aby odepřely přístup k provozu ze všech sítí (včetně internetového provozu). Můžete udělit přístup k provozu z konkrétních virtuálních sítí Azure a rozsahů veřejných internetových IP adres, což vám umožní vytvořit pro své aplikace zabezpečenou hranici sítě.

Poznámka:

Brány firewall služby Key Vault a pravidla virtuální sítě se vztahují pouze na rovinu dat služby Key Vault. Operace řídicí roviny služby Key Vault (například operace vytvoření, odstranění a úpravy, nastavení zásad přístupu, nastavení bran firewall a pravidel virtuální sítě a nasazení tajných kódů nebo klíčů prostřednictvím šablon ARM) nemají vliv na brány firewall a pravidla virtuální sítě.

Tady je několik příkladů, jak můžete používat koncové body služby:

  • K ukládání šifrovacích klíčů, tajných kódů aplikací a certifikátů používáte službu Key Vault a chcete blokovat přístup k trezoru klíčů z veřejného internetu.
  • Chcete uzamknout přístup k trezoru klíčů, aby se k trezoru klíčů mohl připojit jenom aplikace nebo krátký seznam určených hostitelů.
  • Máte ve virtuální síti Azure spuštěnou aplikaci a tato virtuální síť je uzamčená pro veškerý příchozí a odchozí provoz. Vaše aplikace se stále potřebuje připojit ke službě Key Vault, aby načítá tajné kódy nebo certifikáty, nebo používala kryptografické klíče.

Udělení přístupu k důvěryhodným službám Azure

Přístup k důvěryhodným službám Azure můžete udělit trezoru klíčů a přitom zachovat pravidla sítě pro jiné aplikace. Tyto důvěryhodné služby pak budou k zabezpečenému připojení k trezoru klíčů používat silné ověřování.

Přístup k důvěryhodným službám Azure můžete udělit konfigurací nastavení sítě. Podrobné pokyny najdete v možnostech konfigurace sítě v tomto článku.

Když udělíte přístup k důvěryhodným službám Azure, udělíte následující typy přístupu:

  • Důvěryhodný přístup pro výběrové operace k prostředkům registrovaným ve vašem předplatném.
  • Důvěryhodný přístup k prostředkům na základě spravované identity
  • Důvěryhodný přístup mezi tenanty pomocí přihlašovacích údajů federované identity

Důvěryhodné služby

Tady je seznam důvěryhodných služeb, které mají povolený přístup k trezoru klíčů, pokud je povolená možnost Povolit důvěryhodné služby .

Důvěryhodná služba Podporované scénáře použití
Azure API Management Nasazení certifikátů pro vlastní doménu ze služby Key Vault pomocí MSI
Azure App Service Služba App Service je důvěryhodná jenom pro nasazení certifikátu webové aplikace Azure prostřednictvím služby Key Vault, pro samostatnou aplikaci je možné přidat odchozí IP adresy v pravidlech založených na IP adresách služby Key Vault.
Azure Application Gateway Použití certifikátů služby Key Vault pro naslouchací procesy s povoleným protokolem HTTPS
Azure Backup Povolte zálohování a obnovení relevantních klíčů a tajných kódů během zálohování virtuálních počítačů Azure pomocí služby Azure Backup.
Azure Batch Konfigurace klíčů spravovaných zákazníkem pro účty Batch a Key Vault pro účty Batch předplatného uživatele
Azure Bot Service Šifrování služby Azure AI Bot Service pro neaktivní uložená data
Azure CDN Konfigurace HTTPS pro vlastní doménu Azure CDN: Udělení přístupu k trezoru klíčů Azure CDN
Azure Container Registry Šifrování registru s využitím klíčů spravovaných zákazníkem
Azure Data Factory Načtení přihlašovacích údajů úložiště dat ve službě Key Vault ze služby Data Factory
Azure Data Lake Store Šifrování dat v Azure Data Lake Store pomocí klíče spravovaného zákazníkem
Azure Data Manager pro zemědělství Ukládání a používání vlastních licenčních klíčů
Jednoúčelový server Azure Database for MySQL Šifrování dat pro jednoúčelový server Azure Database for MySQL
Flexibilní server Azure Database for MySQL Šifrování dat pro flexibilní server Azure Database for MySQL
Jednoúčelový server Azure Database for PostgreSQL Šifrování dat pro jednoúčelový server Azure Database for PostgreSQL
Flexibilní server Azure Database for PostgreSQL Šifrování dat pro flexibilní server Azure Database for PostgreSQL
Azure Databricks Rychlá, snadná a společnou analytická služba založená na Apache Sparku
Služba šifrování svazků Azure Disk Encryption Povolit přístup k klíči BitLockeru (virtuálnímu počítači s Windows) nebo přístupové heslo DM (virtuální počítač s Linuxem) a šifrovacímu klíči klíče během nasazování virtuálního počítače. To umožňuje službu Azure Disk Encryption.
Azure Disk Storage Při konfiguraci sady šifrování disku (DES). Další informace najdete v tématu Šifrování Azure Disk Storage na straně serveru pomocí klíčů spravovaných zákazníkem.
Azure Event Hubs Povolení přístupu k trezoru klíčů pro scénář klíčů spravovaných zákazníkem
Azure ExpressRoute Při použití MACsec s ExpressRoute Direct
Azure Firewall Premium Certifikáty Služby Azure Firewall Premium
Azure Front Door Classic Použití certifikátů služby Key Vault pro HTTPS
Azure Front Door Standard/Premium Použití certifikátů služby Key Vault pro HTTPS
Azure Import/Export Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro službu Import/Export
Azure Information Protection Povolte přístup k klíči tenanta pro Azure Information Protection.
Azure Machine Learning Zabezpečení služby Azure Machine Learning ve virtuální síti
Azure NetApp Files Povolení přístupu ke klíčům spravovaným zákazníkem ve službě Azure Key Vault
Prohledávání služby Azure Policy Zásady řídicí roviny pro tajné kódy, klíče uložené v rovině dat
Služba nasazení šablony Azure Resource Manageru Předání zabezpečených hodnot během nasazení
Azure Service Bus Povolení přístupu k trezoru klíčů pro scénář klíčů spravovaných zákazníkem
Azure SQL Database transparentní šifrování dat s podporou přineste si vlastní klíč pro Azure SQL Database a Azure Synapse Analytics.
Azure Storage Šifrování služby Storage pomocí klíčů spravovaných zákazníkem ve službě Azure Key Vault
Azure Synapse Analytics Šifrování dat pomocí klíčů spravovaných zákazníkem ve službě Azure Key Vault
Služba nasazení Azure Virtual Machines Nasaďte certifikáty do virtuálních počítačů ze služby Key Vault spravované zákazníkem.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Povolte přístup ke klíčům spravovaným zákazníkem pro šifrování neaktivních uložených dat pomocí klíče zákazníka.
Microsoft Purview Použití přihlašovacích údajů pro ověřování zdroje v Microsoft Purview

Poznámka:

Musíte nastavit příslušná přiřazení rolí RBAC služby Key Vault nebo zásady přístupu (starší verze), aby odpovídající služby mohly získat přístup ke službě Key Vault.

Další kroky