Konfigurieren von Azure Key Vault-Netzwerkeinstellungen

In diesem Artikel erfahren Sie, wie Sie die Azure Key Vault-Netzwerkeinstellungen konfigurieren, um mit anderen Anwendungen und Azure-Diensten zu arbeiten. Ausführlichere Informationen zu verschiedenen Netzwerksicherheitskonfigurationen finden Sie hier.

Hier finden Sie schrittweise Anweisungen zum Konfigurieren der Key Vault-Firewall und der virtuellen Netzwerke über das Azure-Portal, die Azure CLI und Azure PowerShell.

Portal

1. Navigieren Sie zum Schlüsseltresor, den Sie absichern möchten.
2. Wählen Sie Netzwerk und anschließend die Registerkarte Firewalls und virtuelle Netzwerke aus.
3. Wählen Sie unter Zugriff erlauben von den Eintrag Ausgewählte Netzwerke aus.
4. Wenn Sie vorhandene virtuelle Netzwerke zu Firewalls und VNET-Regeln hinzufügen möchten, klicken Sie auf + Vorhandene virtuelle Netzwerke hinzufügen.
5. Wählen Sie auf dem angezeigten neuen Blatt das Abonnement, die virtuellen Netzwerke und Subnetze aus, denen Sie Zugriff auf diesen Schlüsseltresor gewähren möchten. Wenn für die von Ihnen ausgewählten virtuellen Netzwerke und Subnetze keine Dienstendpunkte aktiviert sind, bestätigen Sie, dass Sie Dienstendpunkte aktivieren möchten, und wählen Sie Aktivieren aus. Es kann bis zu 15 Minuten dauern, bis diese Änderung wirksam wird.
6. Fügen Sie unter IP-Netzwerke IPv4-Adressbereiche hinzu, indem Sie IPv4-Adressbereiche in CIDR-Notation (Classless Inter-Domain Routing) oder einzelne IP-Adressen eingeben.
7. Wenn Sie zulassen möchten, dass vertrauenswürdige Microsoft-Dienste die Key Vault-Firewall umgehen, wählen Sie „Ja“ aus. Eine vollständige Liste der aktuellen vertrauenswürdigen Key Vault-Dienste finden Sie unter folgendem Link: Azure Key Vault – Vertrauenswürdige Dienste.
8. Wählen Sie Speichern aus.

Sie können auch neue virtuelle Netzwerke und Subnetze hinzufügen und dann Dienstendpunkte für die neu erstellten virtuellen Netzwerke und Subnetze aktivieren, indem Sie + Neues virtuelles Netzwerk hinzufügen auswählen. Folgen Sie dann den Anweisungen.

Azure-Befehlszeilenschnittstelle

Im Folgenden finden Sie Anweisungen zum Konfigurieren von Key Vault-Firewalls und virtuellen Netzwerken mithilfe der Azure-Befehlszeilenschnittstelle.

1. Installieren Sie die Azure-Befehlszeilenschnittstelle, und melden Sie sich an.

2. Listen Sie die verfügbaren VNET-Regeln auf. Wenn Sie keine Regeln für diesen Schlüsselspeicher festgelegt haben, ist die Liste leer.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Aktivieren Sie den Dienstendpunkt für Key Vault in einem vorhandenen virtuellen Netzwerk und Subnetz.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Fügen Sie einen IP-Adressbereich hinzu, aus dem Datenverkehr zugelassen werden soll.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Wenn dieser Schlüsselspeicher für vertrauenswürdige Dienste zugänglich sein sollte, legen Sie bypass auf AzureServices fest.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Aktivieren Sie die Netzwerkregeln, indem Sie die Standardaktion auf Deny festlegen.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Im Folgenden finden Sie Anweisungen zum Konfigurieren von Key Vault-Firewalls und virtuellen Netzwerken mithilfe der PowerShell:

1. Installieren Sie die neueste Version von Azure PowerShell, und melden Sie sich an.

2. Listen Sie die verfügbaren VNET-Regeln auf. Wenn Sie keine Regeln für diesen Schlüsselspeicher festgelegt haben, ist die Liste leer.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Aktivieren Sie den Dienstendpunkt für Key Vault in einem vorhandenen virtuellen Netzwerk und Subnetz.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Fügen Sie einen IP-Adressbereich hinzu, aus dem Datenverkehr zugelassen werden soll.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Wenn dieser Schlüsselspeicher für vertrauenswürdige Dienste zugänglich sein sollte, legen Sie bypass auf AzureServices fest.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Aktivieren Sie die Netzwerkregeln, indem Sie die Standardaktion auf Deny festlegen.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

References

• ARM-Vorlagenreferenz: Azure Key Vault: ARM-Vorlagenreferenz
• Azure CLI-Befehle: az keyvault network-rule
• Azure PowerShell-Cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Nächste Schritte

• VNET-Dienstendpunkte für Key Vault
• Azure Key Vault-Sicherheitsübersicht