Puntos de conexión de servicio de red virtual para Azure Key Vault

  • Artículo

Los puntos de conexión de servicio de red virtual para Azure Key Vault permiten restringir el acceso a una red virtual especificada. También permiten restringir el acceso a una lista de intervalos de direcciones IPv4 (protocolo de Internet, versión 4). A todos los usuarios que se conecten a su almacén de claves desde fuera de esos orígenes se les negará el acceso.

Hay una excepción importante a esta restricción. Si un usuario ha decidido permitir los servicios de Microsoft de confianza, se habilitan las conexiones de esos servicios a través del firewall. Por ejemplo, estos servicios incluyen Office 365 Exchange Online, Office 365 SharePoint Online, la instancia de proceso de Azure, Azure Resource Manager y Azure Backup. Tales usuarios deben presentar un token de Microsoft Entra válido y necesitan tener permisos (configurados como directivas de acceso) para realizar la operación solicitada. Para obtener más información, consulte puntos de conexión de servicio de red virtual.

Escenarios de uso

Puede configurar los firewalls y redes virtuales de Key Vault para denegar el acceso al tráfico de todas las redes (incluido el tráfico de Internet) de forma predeterminada. Puede conceder acceso al tráfico desde redes virtuales específicas de Azure y rangos de direcciones IP públicas de Internet, lo que le permite generar un límite de red seguro para las aplicaciones.

Nota

Los firewall de Key Vault y las reglas de red virtual solo se aplican al plan de datos de Key Vault. Las operaciones del plano de control de Key Vault (como crear, eliminar, modificar operaciones, configurar directivas de acceso, configurar firewalls y reglas de red virtual, e implementar secretos o claves mediante plantillas de ARM) no se ven afectadas por los firewalls ni las reglas de red virtual.

Estos son algunos ejemplos de cómo puede usar los puntos de conexión de servicio:

  • Si utiliza Key Vault para almacenar claves de cifrado, secretos de aplicación o certificados y quiere bloquear el acceso al almacén de claves de Internet pública.
  • Si quiere bloquear el acceso al almacén de claves para que solo la aplicación o una lista breve de los hosts designados puedan conectarse al almacén de claves.
  • Tiene una aplicación que se ejecuta en su red virtual de Azure y esta red virtual está bloqueada para todo el tráfico entrante y saliente. Su aplicación aún necesita conectarse a Key Vault para capturar secretos o certificados, o usar claves criptográficas.

Concesión de acceso a servicios de Azure de confianza

Puede conceder a servicios de Azure de confianza el acceso al almacén de claves, a la vez que mantiene las reglas de red para otras aplicaciones. Estos servicios de confianza usarán una autenticación sólida para conectarse a su almacén de claves de forma segura.

Para conceder acceso a servicios de Azure de confianza, configure las opciones de red. Para obtener instrucciones paso a paso, consulte las opciones de configuración de red de este artículo.

Cuando se concede acceso a los servicios de Azure de confianza, se conceden los siguientes tipos de acceso:

  • Acceso de confianza para las operaciones seleccionadas en los recursos registrados en la suscripción.
  • Acceso de confianza a los recursos basándose en la identidad administrada asignada por el sistema.
  • Acceso de confianza entre inquilinos mediante una credencial de identidad federada

Servicios de confianza

Esta es una lista de servicios de confianza que tienen permiso para acceder a un almacén de claves si está habilitada la opción Permitir servicios de confianza.

Servicio de confianza Escenarios de uso admitidos
Azure API Management Implementación de certificados para el dominio personalizado de Key Vault mediante MSI
Azure App Service App Service solo es de confianza para la implementación del certificado de Azure Web App mediante Key Vault. Para la aplicación, las direcciones IP de salida se pueden agregar en las reglas basadas en IP de Key Vault.
Azure Application Gateway Usar certificados de Key Vault para los clientes de escucha habilitados para HTTPS
Azure Backup Permitir la opción de copia de seguridad y restauración de claves y secretos pertinentes durante la copia de seguridad de máquinas virtuales de Azure mediante Azure Backup.
Azure Batch Configuración de claves administradas por el cliente para cuentas de Batch y Key Vault para cuentas de Batch de suscripción de usuario
Azure Bot Service Cifrado de datos en reposo de Azure Bot Service
Azure CDN Configuración de HTTPS en un dominio personalizado de Azure CDN: concesión de acceso de Azure CDN al almacén de claves
Azure Container Registry Cifrado del registro con claves administradas por el cliente
Azure Data Factory Captura de credenciales del almacén de datos en Key Vault desde Data Factory
Azure Data Lake Store Cifrado de datos en Azure Data Lake Store con una clave administrada de cliente.
Servidor único de Azure Database for MySQL Cifrado de datos para un único servidor de Azure Database for MySQL
Azure Database for MySQL: servidor flexible Cifrado de datos para el servidor flexible de Azure Database for MySQL
Azure Database for PostgreSQL con la opción Servidor único Cifrado de datos para un único servidor de Azure Database for PostgreSQL
Servidor flexible de Azure Database for PostgreSQL Cifrado de datos de servidor flexible de Azure Database for PostgreSQL
Azure Databricks Servicio de análisis rápido, sencillo y de colaboración basado en Apache Spark
Servicio de cifrado de volúmenes de Azure Disk Encryption Permitir el acceso a BitLocker Key (máquina virtual Windows) o a la frase de contraseña de DM (máquina virtual Linux) y a la clave de cifrado durante la implementación de máquinas virtuales. Esto habilita Azure Disk Encryption.
Azure Disk Storage Cuando se configura con un conjunto de cifrado de disco (DES). Para más información, consulte Cifrado del lado servidor de Azure Disk Storage mediante claves administradas por el cliente.
Azure Event Hubs Permitir el acceso a un almacén de claves para un escenario de claves administradas por el cliente
Azure ExpressRoute Al usar MACsec con ExpressRoute Direct
Azure Firewall Prémium Certificados de Azure Firewall Prémium
Azure Front Door clásico Uso de certificados de Key Vault para HTTPS
Azure Front Door Estándar/Premium Uso de certificados de Key Vault para HTTPS
Azure Import/Export Uso de claves administradas por el cliente en Azure Key Vault para el servicio de importación y exportación
Azure Information Protection Permitir el acceso a la clave de inquilino para Azure Information Protection.
Azure Machine Learning Protección de Azure Machine Learning en una red virtual
Digitalización de Azure Policy Directivas del plano de control para secretos, claves almacenadas en el plano de datos
Servicio de implementación de plantillas de Azure Resource Manager Pasar valores seguros durante la implementación.
Azure Service Bus Permitir el acceso a un almacén de claves para un escenario de claves administradas por el cliente
Azure SQL Database Cifrado de datos transparente con compatibilidad con Bring Your Own Key para Azure SQL Database y Azure Synapse Analytics.
Azure Storage Storage Service Encryption mediante claves administradas por el cliente en Azure Key Vault.
Azure Synapse Analytics Cifrado de datos mediante claves administradas por el cliente en Azure Key Vault
Servicio de implementación de Azure Virtual Machines Implementar certificados en máquinas virtuales desde el almacén de claves administrado por el cliente.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Permitir el acceso a las claves administradas por el cliente para el cifrado de datos en reposo con clave de cliente.
Microsoft Purview Uso de credenciales para la autenticación de origen en Microsoft Purview

Nota

Debe configurar las asignaciones de roles RBAC o las directivas de acceso (heredadas) pertinentes de Key Vault para permitir que los servicios correspondientes obtengan acceso a Key Vault.

Pasos siguientes