Konfigurieren von Azure Key Vault-Netzwerkeinstellungen

Dieser Artikel enthält Anleitungen zum Konfigurieren der Azure Key Vault-Netzwerkeinstellungen für die Arbeit mit anderen Anwendungen und Azure-Diensten. Weitere Informationen zu verschiedenen Netzwerksicherheitskonfigurationen finden Sie hier.

Hier finden Sie schrittweise Anleitungen zum Konfigurieren der Key Vault-Firewall und der virtuellen Netzwerke mithilfe des Azure-Portals, der Azure CLI und der Azure PowerShell

Portal

1. Navigieren Sie zum Schlüsseltresor, den Sie sichern möchten.
2. Wählen Sie Netzwerk und anschließend die Registerkarte Firewalls und virtuelle Netzwerke aus.
3. Wählen Sie unter Zugriff erlauben von den Eintrag Ausgewählte Netzwerke aus.
4. Wenn Sie vorhandene virtuelle Netzwerke zu Firewalls und VNET-Regeln hinzufügen möchten, klicken Sie auf + Vorhandene virtuelle Netzwerke hinzufügen.
5. Wählen Sie auf dem angezeigten neuen Blatt das Abonnement, die virtuellen Netzwerke und die Subnetze aus, denen Sie Zugriff auf diesen Schlüsseltresor gewähren möchten. Wenn für die von Ihnen ausgewählten virtuellen Netzwerke und Subnetze keine Dienstendpunkte aktiviert sind, bestätigen Sie, dass Sie Dienstendpunkte aktivieren möchten, und wählen Sie Aktivieren aus. Es kann bis zu 15 Minuten dauern, bis diese Änderung wirksam wird.
6. Fügen Sie unter IP-Netzwerke IPv4-Adressbereiche hinzu, indem Sie IPv4-Adressbereiche in CIDR-Notation (Classless Inter-Domain Routing) oder einzelne IP-Adressen eingeben.
7. Wenn Sie zulassen möchten, dass vertrauenswürdige Microsoft-Dienste die Key Vault-Firewall umgehen, wählen Sie „Ja“ aus. Eine vollständige Liste der aktuellen vertrauenswürdigen Key Vault-Dienste finden Sie unter folgendem Link: Azure Key Vault Vertrauensdienste
8. Wählen Sie Speichern aus.

Sie können auch neue virtuelle Netzwerke und Subnetze hinzufügen und dann Dienstendpunkte für die neu erstellten virtuellen Netzwerke und Subnetze aktivieren, indem Sie + Neues virtuelles Netzwerk hinzufügen auswählen. Folgen Sie dann den Anweisungen.

Azure CLI

So konfigurieren Sie Key Vault-Firewalls und virtuelle Netzwerke mithilfe der Azure CLI

1. Installieren Sie Azure CLI , und melden Sie sich an.

2. Verfügbare Regeln für virtuelle Netzwerke auflisten. Wenn Sie keine Regeln für diesen Schlüsselspeicher festgelegt haben, wird die Liste leer sein.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Aktivieren Sie einen Dienstendpunkt für Key Vault in einem vorhandenen virtuellen Netzwerk und Subnetz.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Fügen Sie einen IP-Adressbereich hinzu, aus dem Datenverkehr zugelassen werden soll.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Wenn auf diesen Schlüsseltresor von beliebigen vertrauenswürdigen Diensten zugegriffen werden soll, setzen Sie bypass auf AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Aktivieren Sie die Netzwerkregeln, indem Sie die Standardaktion auf Deny festlegen.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Hier erfahren Sie, wie Sie Key Vault-Firewalls und virtuelle Netzwerke mithilfe von PowerShell konfigurieren:

1. Installieren Sie die neueste Azure PowerShell, und melden Sie sich an.

2. Liste der verfügbaren Regeln für virtuelle Netzwerke. Wenn Sie keine Regeln für diesen Schlüsselspeicher festgelegt haben, wird die Liste leer sein.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Aktivieren Sie den Dienstendpunkt für Key Vault in einem vorhandenen virtuellen Netzwerk und Subnetz.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Fügen Sie einen IP-Adressbereich hinzu, aus dem Datenverkehr zugelassen werden soll.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Wenn dieser Schlüsselspeicher für alle vertrauenswürdigen Dienste zugänglich sein sollte, legen Sie bypass auf AzureServices fest.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Aktivieren Sie die Netzwerkregeln, indem Sie die Standardaktion auf Deny festlegen.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Verweise

• ARM-Vorlagenreferenz: Azure Key Vault: ARM-Vorlagenreferenz
• Azure CLI-Befehle: az keyvault network-rule
• Azure PowerShell-Cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Nächste Schritte

• VNET-Dienstendpunkte für Key Vault
• Azure Key Vault-Sicherheitsübersicht