Acceso a Key Vault en una red privada a través de puntos de conexión privados compartidos

El servicio Azure Web PubSub puede acceder a Key Vault en una red privada a través de conexiones de puntos de conexión privados compartidos. En este artículo se muestra cómo configurar la instancia del servicio Web PubSub para enrutar las llamadas salientes a un almacén de claves a través de un punto de conexión privado compartido en lugar de una red pública.

Los puntos de conexión privados de recursos protegidos creados a través de las API del servicio Azure Web PubSub se conocen como recursos de vínculo privado compartidos. Eso se debe a que se "comparte" el acceso a un recurso, como una función de Azure Key Vault, que se ha integrado en el servicio Azure Private Link. Estos puntos de conexión privados se crean dentro del entorno de ejecución del servicio Azure Web PubSub y no son visibles directamente para usted.

Nota:

En los ejemplos de este artículo se usan los siguientes identificadores de recursos:

• El identificador de recurso de este servicio Azure Web PubSub es _/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub .
• El id. de recurso de Azure Key Vault es /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.

Al seguir los pasos, sustituya los identificadores de recursos del servicio Azure Web PubSub y Azure Key Vault.

Requisitos previos

• Una suscripción de Azure, si no tiene una, cree una [cuenta gratuita]. (https://azure.microsoft.com/free/?WT.mc_id=A261C142F).
• CLI de Azure 2.25.0 o posterior (si usa la CLI de Azure).
• Una instancia del servicio Azure Web PubSub en un plan de tarifa Estándar o superior
• Un recurso de Azure Key Vault.

1. Creación de un recurso de punto de conexión privado compartido en Key Vault

Azure Portal

1. En Azure Portal, vaya a la página de recursos del servicio Azure Web PubSub.

2. Seleccione Redes en el menú.

3. Seleccione la pestaña Acceso privado.

4. Seleccione Add shared private endpoint (Agregar punto de conexión privado compartido).

   

5. Escriba un nombre para el punto de conexión privado compartido.

6. Escriba el recurso del almacén de claves; para ello, elija Seleccionar entre los recursos y seleccione el recurso de las listas, o bien elija Especificar el identificador de recurso y escriba el identificador de recurso del almacén de claves.

7. Escriba por favor aprobar para el mensaje de solicitud.

8. Seleccione Agregar.

   

El estado de aprovisionamiento de recursos del punto de conexión privado compartido es Correcto. El estado de conexión es Pendiente de aprobación en el lado del recurso de destino.

CLI de Azure

Puede realizar la siguiente llamada API con la CLI de Azure para crear un recurso de vínculo privado compartido. Reemplace por uri su propio valor.

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/kv-pe?api-version=2022-08-01-preview --body @create-pe.json

El contenido del archivo create-pe.json , que representa el cuerpo de la solicitud a la API, son los siguientes:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

El proceso de creación de un punto de conexión privado de salida es una operación de larga duración (asincrónica), Como en todas las operaciones asincrónicas de Azure, la PUT llamada devuelve un Azure-AsyncOperation valor de encabezado similar al siguiente resultado:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview"

Este identificador URI se puede sondear periódicamente para obtener el estado de la operación. Espere a que el estado cambie a "Correcto" antes de continuar con los pasos siguientes.

Puede sondear el estado realizando una consulta manual del valor Azure-AsyncOperationHeader:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2022-08-01-preview

2. Aprobación de la conexión de punto de conexión privado para Key Vault

Una vez creada la conexión de punto de conexión privado, debe aprobar la solicitud de conexión del servicio Azure Web PubSub en el recurso del almacén de claves.

Azure Portal

1. En Azure Portal, vaya a la página de recursos del almacén de claves.

2. Seleccione Redes en el menú.

3. Seleccione Conexiones de punto de conexión privado.

   

4. Seleccione el punto de conexión privado que creó el servicio Azure Web PubSub.

5. Seleccione Aprobar y Sí para confirmar.

6. Espere a que se apruebe la conexión del punto de conexión privado.

   

CLI de Azure

1. Enumere las conexiones de punto de conexión privado.

   az network private-endpoint-connection list --name <key-vault-resource-name>  --resource-group <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Debe haber una conexión de punto de conexión privado pendiente. Anote su id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Apruebe la conexión del punto de conexión privado.

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

3. Consulta del estado del recurso de vínculo privado compartido

La aprobación tarda unos minutos en propagarse al servicio Azure Web PubSub. Puede comprobar el estado mediante Azure Portal o la CLI de Azure. El punto de conexión privado compartido entre el servicio Azure Web PubSub y Azure Key Vault está activo cuando se aprueba el estado del contenedor.

Azure Portal

1. Vaya al recurso del servicio Azure Web PubSub en Azure Portal.

2. Seleccione Redes en el menú.

3. Seleccione Recursos de vínculo privado compartido.

   

CLI de Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/webpubsub/contoso-webpubsub/sharedPrivateLinkResources/func-pe?api-version=2022-08-01-preview

Este comando devolvería un JSON, donde el estado de conexión se mostraría como "status" en la sección "properties".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Cuando el "Estado de aprovisionamiento" (properties.provisioningState) del recurso es Succeeded y "estado de Conectar ion" (properties.status) es Approved, el recurso de vínculo privado compartido es funcional y el servicio Azure Web PubSub puede comunicarse a través del punto de conexión privado.

Ahora puede configurar características como un dominio personalizado como de costumbre. No es necesario usar un dominio especial para Key Vault. El servicio Azure Web PubSub controla automáticamente la resolución DNS.

Pasos siguientes

Más información:

• ¿Qué son los puntos de conexión privados?
• Configuración de un dominio personalizado