Configuración de las redes de Azure Key Vault

En este artículo se proporcionan instrucciones sobre cómo configurar las redes de Azure Key Vault para trabajar con otras aplicaciones y servicios de Azure. Puede obtener información detallada sobre las distintas configuraciones de seguridad de red aquí.

Instrucciones paso a paso para configurar el firewall y las redes virtuales de Key Vault mediante Azure Portal, la CLI de Azure y Azure PowerShell

Portal

1. Vaya al almacén de claves que quiere proteger.
2. Seleccione Redes y, luego, elija la pestaña Firewalls and virtual networks (Firewalls y redes virtuales).
3. Haga clic en Redes seleccionadas en Permitir el acceso desde.
4. Para agregar redes virtuales existentes a los firewall y las reglas de red virtual, haga clic en + Agregar redes virtuales existentes.
5. En la nueva hoja que se abrirá, seleccione la suscripción, las redes virtuales y las subredes a las cuales desea otorgar acceso a este almacén de claves. Si las redes virtuales y subredes que seleccionó no tienen puntos de conexión de servicio habilitados, confirme que desea habilitar los puntos de conexión de servicio y seleccione Habilitar. Esta operación podría tardar hasta 15 minutos en surtir efecto.
6. En Redes IP, agregue rangos de direcciones IPv4; para ello, escriba los rangos de direcciones IPv4 en la notación CIDR (enrutamiento de interdominios sin clases) o en las direcciones IP individuales.
7. Si desea permitir que los servicios de confianza de Microsoft omitan el firewall de Key Vault, seleccione "Sí". Para ver una lista completa de los servicios de confianza Key Vault actuales, consulte el siguiente vínculo. Servicios de confianza de Azure Key Vault
8. Seleccione Guardar.

Asimismo, puede también agregar nuevas redes virtuales y subredes y habilitar los puntos de conexión de servicio de las redes virtuales y subredes recién creadas. Para ello, haga clic en + Agregar nueva red virtual. A continuación, siga las indicaciones.

CLI de Azure

Estos son los pasos para configurar firewalls y redes virtuales de Key Vault mediante la CLI de Azure

1. Instale la CLI de Azure e inicie sesión.

2. Se muestra la lista de reglas de red virtual disponibles. Si no ha establecido ninguna regla para este almacén de claves, la lista estará vacía.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Habilite un punto de conexión de servicio para Key Vault en una red virtual y subred existentes.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Agregue una regla de red para una red virtual y subred.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Agregue un rango de direcciones IP desde el que se va a permitir el tráfico.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Si cualquier servicio de confianza necesita obtener acceso a este almacén de claves, establezca la opción bypass en AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Active las reglas de red estableciendo la acción predeterminada en Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Nota

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Consulte Instalación de Azure PowerShell para empezar. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Estas son las instrucciones para configurar los firewalls y las redes virtuales de Key Vault mediante PowerShell:

1. Instale la última versión de Azure PowerShell e inicie sesión.

2. Se muestra la lista de reglas de red virtual disponibles. Si no ha establecido ninguna regla para este almacén de claves, la lista estará vacía.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Habilite el punto de conexión de servicio para Key Vault en una red virtual y subred existentes.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Agregue una regla de red para una red virtual y subred.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Agregue un rango de direcciones IP desde el que se va a permitir el tráfico.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Si cualquier servicio de confianza necesita obtener acceso a este almacén de claves, establezca la opción bypass en AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Active las reglas de red estableciendo la acción predeterminada en Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Referencias

• Referencia de plantilla de ARM: Referencia de la plantilla de ARM de Azure Key Vault
• Comandos de la CLI de Azure: az keyvault network-rule
• Cmdlets de Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Pasos siguientes

• Puntos de conexión de servicio de red virtual para Key Vault
• Introducción a la seguridad de Azure Key Vault