VNET-Dienstendpunkte für Azure Key Vault

Die VNET-Dienstendpunkte für Azure Key Vault ermöglichen Ihnen, den Zugriff auf angegebene virtuelle Netzwerke zu beschränken. Die Endpunkte ermöglichen Ihnen außerdem, den Zugriff auf eine Liste von IPv4-Adressbereichen (Internet Protocol, Version 4) zu beschränken. Allen Benutzern, die außerhalb dieser Quellen eine Verbindung mit Ihrem Schlüsseltresor herstellen, wird der Zugriff verweigert.

Es gibt eine wichtige Ausnahme dieser Einschränkung. Wenn ein Benutzer entschieden hat, vertrauenswürdige Microsoft-Dienste zuzulassen, dürfen Verbindungen von diesen Diensten die Firewall passieren. Z. B. umfassen diese Dienste Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager und Azure Backup. Solche Benutzer müssen natürlich weiterhin ein gültiges Microsoft Entra-Token vorlegen und über Berechtigungen (als Zugriffsrichtlinien konfiguriert) zum Ausführen des angeforderten Vorgangs verfügen. Weitere Informationen finden Sie unter VNET-Dienstendpunkte.

Verwendungsszenarios

Sie können Key Vault-Firewalls und virtuelle Netzwerke so konfigurieren, dass der Zugriff auf Datenverkehr aus allen Netzwerken (einschließlich Internetdatenverkehr) standardmäßig verweigert wird. Sie können Zugriff auf Datenverkehr aus bestimmten virtuellen Azure-Netzwerken und IP-Adressbereichen des öffentlichen Internets gewähren, sodass Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen können.

Hinweis

Key Vault-Firewalls und VNET-Regeln gelten nur für die Datenebene von Key Vault. Vorgänge auf Key Vault-Steuerungsebene (z. B. Vorgänge zum Erstellen, Löschen und Ändern, das Festlegen von Zugriffsrichtlinien, Festlegen von Firewalls und VNET-Regeln und Bereitstellen von Geheimnissen oder Schlüsseln durch ARM-Vorlagen) sind von Firewalls und VNET-Regeln nicht betroffen.

Hier finden Sie einige Beispiele dafür, wie Sie Dienstendpunkte verwenden können:

• Sie verwenden Key Vault zum Speichern von Verschlüsselungsschlüsseln, Anwendungsgeheimnissen und Zertifikaten, und Sie möchten den Zugriff auf Ihren Schlüsseltresor aus dem öffentlichen Internet blockieren.
• Sie möchten den Zugriff auf Ihren Schlüsseltresor sperren, sodass nur Ihre Anwendung oder einige festgelegte Hosts eine Verbindung mit dem Schlüsselspeicher herstellen können.
• Sie führen eine Anwendung in Ihrem virtuellen Azure-Netzwerk aus, und dieses virtuelle Netzwerk ist für den gesamten eingehenden und ausgehenden Datenverkehr gesperrt. Ihre Anwendung muss dennoch weiterhin eine Verbindung mit dem Schlüsseltresor herstellen, um Geheimnisse abzurufen oder Kryptografieschlüssel zu verwenden.

Gewähren von Zugriff für vertrauenswürdige Azure-Dienste

Sie können vertrauenswürdigen Azure-Diensten Zugriff auf den Schlüsseltresor gewähren und gleichzeitig Netzwerkregeln für andere Apps beibehalten. Diese vertrauenswürdigen Dienste stellen dann unter Verwendung einer strengen Authentifizierung eine sichere Verbindung mit Ihrem Schlüsseltresor her.

Sie können Zugriff auf vertrauenswürdige Azure-Dienste gewähren, indem Sie Netzwerkeinstellungen konfigurieren. Eine schrittweise Anleitung finden Sie in den Netzwerkkonfigurationsoptionen in diesem Artikel.

Wenn Sie vertrauenswürdigen Azure-Diensten Zugriff gewähren, erteilen Sie folgende Arten von Zugriff:

• Vertrauenswürdiger Zugriff auf in Ihrem Abonnement registrierte Ressourcen für ausgewählte Vorgänge
• Vertrauenswürdiger Zugriff auf Ressourcen auf der Grundlage einer systemseitig zugewiesenen verwalteten Identität
• Mandantenübergreifender vertrauenswürdiger Zugriff mithilfe von Anmeldeinformationen für eine Verbundidentität

Vertrauenswürdige Dienste

Es folgt eine Liste der vertrauenswürdigen Dienste, denen Zugriff auf einen Schlüsseltresor gewährt wird, wenn die Option Vertrauenswürdige Dienste zulassen aktiviert ist.

Vertrauenswürdiger Dienst	Unterstützte Verwendungsszenarien
Azure API Management	Verwenden der verwalteten Dienstidentität für den Zugriff auf andere Ressourcen
Azure App Service	App Service nur für die Bereitstellung des Azure-Web-App-Zertifikats über Key Vault vertrauenswürdig. Für einzelne Apps können die ausgehenden IP-Adressen in den IP-basierten Regeln von Key Vault hinzugefügt werden.
Azure Application Gateway	Verwenden von Key Vault-Zertifikaten für HTTPS-fähige Listener
Azure Backup	Zulassen der Sicherung und Wiederherstellung von relevanten Schlüsseln und Geheimnissen während der Azure Virtual Machines-Sicherung mithilfe von Azure Backup.
Azure Batch	Konfigurieren von kundenseitig verwalteten Schlüsseln für Batch-Konten und Key Vault für Batch-Konten des Benutzerabonnements
Azure Bot Service	Azure KI Bot Service-Verschlüsselung für ruhende Daten
Azure CDN	Konfigurieren von HTTPS in einer benutzerdefinierten Azure CDN-Domäne: Gewähren von Azure CDN-Zugriff auf Ihren Schlüsseltresor
Azure Container Registry	Registrierungsverschlüsselung mithilfe kundenseitig verwalteter Schlüssel
Azure Data Factory	Abrufen von Anmeldeinformationen für den Datenspeicher in Key Vault aus Data Factory
Azure Data Lake Store	Datenverschlüsselung in Azure Data Lake Store mit von Kunden verwalteten Schlüsseln.
Azure Database for MySQL – Einzelserver	Datenverschlüsselung für Azure Database for MySQL – Einzelserver
Azure Database for MySQL – Flexibler Server	Datenverschlüsselung für Azure Database for MySQL – Flexibler Server
Azure Database for PostgreSQL Single Server	Datenverschlüsselung für Azure Database for PostgreSQL-Einzelserver mithilfe der Azure-Befehlszeilenschnittstelle
Azure Database for PostgreSQL – Flexible Server	Datenverschlüsselung für Azure Database for PostgreSQL – Flexible Server
Azure Databricks	Ein schneller, einfacher und kollaborativer Analysedienst auf Basis von Apache Spark
Azure Disk Encryption-Volumeverschlüsselung (Dienst)	Zulassen des Zugriffs auf den BitLocker-Schlüssel (virtueller Windows-Computer) oder die DM-Passphrase (virtueller Linux-Computer) und den Schlüssel für die Schlüsselverschlüsselung bei der Bereitstellung virtueller Computer. Dies aktiviert die Azure Disk Encryption.
Azure Disk Storage	Bei Konfiguration mit einem Datenträgerverschlüsselungssatz (DISK Encryption Set, DES). Weitere Informationen finden Sie unter Serverseitige Verschlüsselung von Azure Disk Storage: Vom Kunden verwaltete Schlüssel.
Azure Event Hubs	Zulassen des Zugriffs auf einen Schlüsseltresor für Szenarien mit kundenseitig verwalteten Schlüsseln
Azure ExpressRoute	Bei Verwendung von MACsec mit ExpressRoute Direct
Azure Firewall Premium	Azure Firewall Premium-Zertifikate
Azure Front Door (klassisch)	Verwendung der Key Vault-Zertifikate für HTTPS
Azure Front Door Standard/Premium	Verwendung der Key Vault-Zertifikate für HTTPS
Azure Import/Export	Verwenden kundenseitig verwalteter Schlüssel in Azure Key Vault für den Import/Export-Dienst
Azure Information Protection	Zulassen des Zugriffs auf den Mandantenschlüssel für Azure Information Protection
Azure Machine Learning	Schützen von Azure Machine Learning in einem virtuellen Netzwerk
Azure Policy-Scan	Richtlinien der Steuerungsebene für Geheimnisse, Schlüssel, die in der Datenebene gespeichert sind
Azure Resource Manager-Vorlagenbereitstellung (Dienst)	Übergeben sicherer Werte während der Bereitstellung.
Azure-Servicebus	Zulassen des Zugriffs auf einen Schlüsseltresor für Szenarien mit kundenseitig verwalteten Schlüsseln
Azure SQL-Datenbank	Transparent Data Encryption mit BYOK-Unterstützung (Bring Your Own Key) für Azure SQL-Datenbank und Azure Synapse Analytics.
Azure Storage	Storage Service Encryption mit von Kunden verwalteten Schlüsseln in Azure Key Vault.
Azure Synapse Analytics	Verschlüsselung mit kundenseitig verwalteten Schlüsseln in Azure Key Vault
Azure Virtual Machines-Bereitstellung (Dienst)	Bereitstellen von Zertifikaten auf virtuellen Computern über eine vom Kunden verwaltete Key Vault-Instanz.
Exchange Online, SharePoint Online, M365DataAtRestEncryption	Zugriff auf kundenseitig verwaltete Schlüssel für die Verschlüsselung ruhender Daten mit Kundenschlüssel zulassen.
Microsoft Purview	Verwenden von Anmeldeinformationen für die Quellenauthentifizierung in Microsoft Purview

Hinweis

Sie müssen die relevanten Key Vault-RBAC-Rollenzuweisungen oder -Zugriffsrichtlinien (Legacy) so einrichten, dass die entsprechenden Dienste Zugriff auf den Schlüsseltresor erhalten.

Nächste Schritte

• Schrittanleitungen finden Sie unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken.
• Weitere Informationen finden Sie in der Azure Key Vault-Sicherheitsübersicht.