Integración de Key Vault con Azure Private Link

El servicio Azure Private Link permite acceder a los servicios de Azure (por ejemplo, Azure Key Vault, Azure Storage y Azure Cosmos DB) y a los servicios de cliente o asociado hospedados en Azure a través de un punto de conexión privado en la red virtual.

Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual para incorporar el servicio de manera eficaz a su red virtual. Todo el tráfico dirigido al servicio se puede enrutar mediante el punto de conexión privado, por lo que no se necesita ninguna puerta de enlace, dispositivos NAT, conexiones de ExpressRoute o VPN ni direcciones IP públicas. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft, eliminando la exposición a la red pública de Internet. Puede conectarse a una instancia de un recurso de Azure, lo que le otorga el nivel más alto de granularidad en el control de acceso.

Para más información, consulte ¿Qué es Azure Private Link?

Prerrequisitos

Para integrar un almacén de claves con Azure Private Link, necesitará lo siguiente:

• Una bóveda de claves.
• Una red virtual de Azure.
• Una subred en la red virtual.
• Permisos de propietario o colaborador para el almacén de claves y la red virtual.

El punto de conexión privado y la red virtual deben estar en la misma región. Al seleccionar una región para el punto de conexión privado mediante el portal, solo se filtran automáticamente las redes virtuales que se encuentran en dicha región. El almacén de claves puede estar en una región diferente.

El punto de conexión privado usa una dirección IP privada en la red virtual.

Azure Portal

Establecimiento de una conexión de vínculo privado a Key Vault mediante Azure Portal

En primer lugar, cree una red virtual siguiendo los pasos descritos en Creación de una red virtual mediante Azure Portal.

Después, puede crear un nuevo almacén de claves o establecer una conexión de vínculo privado a un almacén de claves existente.

Creación de un nuevo almacén de claves y establecimiento de una conexión de vínculo privado

Puede crear un nuevo almacén de claves con Azure Portal, la CLI de Azure o Azure PowerShell.

** Después de configurar la configuración básica del almacén de claves, seleccione la pestaña Redes y siga estos pasos:

1. Deshabilite el acceso público desactivando el botón de radio.

2. Seleccione el botón "+ Crear un punto de conexión privado" para agregar un punto de conexión privado.

   

3. En el campo "Ubicación" de la hoja Crear punto de conexión privado, seleccione la región en la que se encuentra la red virtual.

4. En el campo "Nombre", cree un nombre descriptivo que le permita identificar este punto de conexión privado.

5. Seleccione la red virtual y la subred en las que desea que se cree este punto de conexión privado en el menú desplegable.

6. Deje la opción "integrar con dns de zona privada" sin cambios.

7. Seleccione "Aceptar".

   

Ahora podrá ver el punto de conexión privado configurado. Ahora puede eliminar y editar este punto de conexión privado. Seleccione el botón "Revisar y crear" y cree el almacén de claves. La implementación tardará entre 5 y 10 minutos en completarse.

Establecimiento de una conexión de vínculo privado con un almacén de claves existente

Si ya tiene un almacén de claves, puede crear una conexión de vínculo privado siguiendo estos pasos:

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba "almacenes de claves".

3. En la lista, seleccione el almacén de claves al que desea agregar un punto de conexión privado.

4. Seleccione la pestaña "Redes" en Configuración.

5. Seleccione la pestaña "Conexiones de punto de conexión privado" en la parte superior de la página.

6. Seleccione el botón "+ Crear" en la parte superior de la página.

   

7. En "Detalles del proyecto", seleccione el grupo de recursos que contiene la red virtual que creó como requisito previo para este tutorial. En "Detalles de la instancia", escriba "myPrivateEndpoint" como nombre y seleccione la misma ubicación que la red virtual que creó como requisito previo para este tutorial.

   Puede optar por crear un punto de conexión privado para cualquier recurso de Azure en mediante esta hoja. Puede usar los menús desplegables para seleccionar un tipo de recurso y seleccionar un recurso en el directorio, o puede conectarse a cualquier recurso de Azure mediante un identificador de recurso. Deje la opción "integrar con dns de zona privada" sin cambios.

8. Avance a la hoja "Recursos". En "Tipo de recurso", seleccione "Microsoft.KeyVault/vaults"; para "Recurso", seleccione el almacén de claves que creó como requisito previo para este tutorial. "Subrecurso de destino" se rellenará automáticamente con "almacén".

9. Avance a la "Red virtual". Seleccione la red virtual y la subred que creó como requisito previo para este tutorial.

10. Avance por los paneles "DNS" y "Etiquetas", aceptando los valores predeterminados.

11. En la hoja "Revisar y crear", seleccione "Crear".

Cuando se crea un punto de conexión privado, se debe aprobar la conexión. Si el recurso para el que va a crear un punto de conexión privado está en el directorio, podrá aprobar la solicitud de conexión siempre que tenga permisos suficientes; Si se conecta a un recurso de Azure en otro directorio, debe esperar a que el propietario de ese recurso apruebe la solicitud de conexión.

Hay cuatro estados de aprovisionamiento:

Acción del servicio	Estado de punto de conexión privado del consumidor del servicio	Descripción
Ninguno	Pendiente	La conexión se crea manualmente y está pendiente de aprobación por parte del propietario del recurso de Private Link.
Aprobar	Aprobado	La conexión se aprobó de forma automática o manual y está lista para usarse.
Rechazar	Rechazado	El propietario del recurso de vínculo privado rechazó la conexión.
Eliminar	Desconectado	El propietario del recurso del vínculo privado quitó la conexión, el punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza.

Administración de una conexión de punto de conexión privado con Key Vault mediante Azure Portal

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba "almacenes de claves"

3. Seleccione el almacén de claves que desea gestionar.

4. Seleccione la pestaña "Redes".

5. Si hay alguna conexión pendiente, verá una conexión que aparece con el estado "Pendiente" como estado de aprovisionamiento.

6. Seleccione el punto de conexión privado que desea aprobar.

7. Seleccione el botón Aprobar.

8. Si hay alguna conexión de punto de conexión privado que quiera rechazar, ya sea una solicitud pendiente o una conexión existente, seleccione la conexión y seleccione el botón "Rechazar".

   

CLI de Azure

Establecimiento de una conexión de vínculo privado a Key Vault mediante la CLI (configuración inicial)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Creación de un punto de conexión privado (aprobación automática)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Creación de un punto de conexión privado (solicitud manual de aprobación)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Administrar conexiones de Private Link

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Agregar registros DNS privados

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Validación de que la conexión de vínculo privado funciona

Debe validar que los recursos de la misma subred del recurso de punto de conexión privado se conectan al almacén de claves mediante una dirección IP privada y que tienen la integración correcta de la zona DNS privada.

En primer lugar, cree una máquina virtual siguiendo los pasos que encontrará en Creación de una máquina virtual Windows en Azure Portal.

En la pestaña "Redes":

1. Especifique Red virtual y Subred. Puede crear una nueva red virtual o seleccionar una existente. Si selecciona uno existente, asegúrese de que la región coincida.
2. Especifique un recurso de dirección IP pública.
3. En el grupo de seguridad de red NIC, seleccione "Ninguno".
4. En "Equilibrio de carga", seleccione "No".

Abra la línea de comandos y ejecute el siguiente comando:

nslookup <your-key-vault-name>.vault.azure.net

Si ejecuta el comando de búsqueda ns para resolver la dirección IP de un almacén de claves sobre un punto de conexión público, verá un resultado similar al siguiente:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Si ejecuta el comando nslookup para resolver la dirección IP de un Key Vault a través de un punto de conexión privado, verá un resultado que se ve así:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guía de solución de problemas

• Compruebe que el punto de conexión privado está en estado aprobado.

  1. Puede comprobarlo y corregirlo en Azure Portal. Abra el recurso de Key Vault y seleccione la opción Redes.
  2. A continuación, seleccione la pestaña Conexiones de punto de conexión privado.
  3. Asegúrese de que el estado de conexión es Aprobado y el estado de aprovisionamiento es Exitoso.
  4. También puede ir al recurso de punto de conexión privado y revisar las mismas propiedades allí y comprobar que la red virtual coincide con la que está usando.

• Asegúrese de que tiene un recurso de zona DNS privada.

  1. Debe tener un recurso de zona DNS privada con el nombre exacto: privatelink.vaultcore.azure.net.
  2. Para obtener información sobre cómo configurar esto, consulte el siguiente vínculo. Zonas DNS privadas

• Asegúrese de que la zona DNS privada esté vinculada a la red virtual. Si se devuelve la dirección IP pública, es posible que este sea el problema.

  1. Si el DNS de zona privada no está vinculado a la red virtual, la consulta DNS que se origina en la red virtual devolverá la dirección IP pública del almacén de claves.
  2. Vaya al recurso Zona DNS privada en Azure Portal y seleccione la opción vínculos de red virtual.
  3. La red virtual que realizará las llamadas al almacén de claves debe aparecer en la lista.
  4. Si no está, agrégalo.
  5. Para obtener pasos detallados, consulte el siguiente documento Vinculación de red virtual a zona DNS privada.

• Asegúrese de que el DNS de la zona privada tenga el registro D para el almacén de claves.

  1. Vaya a la página Zona DNS privada.
  2. Seleccione "Información general" y compruebe si hay un registro D con el nombre simple de su almacén de claves (es decir, fabrikam). No especifique ningún sufijo.
  3. Asegúrese de revisar la ortografía y de crear o reparar el registro D. Puede usar un TTL de 600 (10 minutos).
  4. Asegúrese de especificar la dirección IP privada correcta.

• Compruebe que el registro A tiene la dirección IP correcta.

  1. Para confirmar la dirección IP, abra el recurso Punto de conexión privado en Azure Portal.
  2. Vaya al recurso Microsoft.Network/privateEndpoints en Azure Portal (no en el recurso Key Vault).
  3. En la página de información general, busque Interfaz de red y seleccione ese vínculo.
  4. El vínculo mostrará la información general del recurso NIC, que contiene la dirección IP privada de la propiedad.
  5. Compruebe que se trata de la dirección IP correcta que se especifica en el registro D.

• Si se conecta desde un recurso local a Key Vault, asegúrese de que tenga habilitados todos los reenviadores condicionales necesarios del entorno local.

  1. Revise la configuración de DNS de Azure Private Endpoint para las zonas necesarias y asegúrese de que tiene reenviadores condicionales para vault.azure.net y vaultcore.azure.net en su servidor DNS de las instalaciones.
  2. Asegúrese de que tiene reenviadores condicionales para esas zonas que se enrutan a un Solucionador del Sistema de nombres de dominio privado de Azure o a otra plataforma DNS con acceso a la resolución de Azure.

Limitaciones y consideraciones de diseño

Límites: consulte Límites de Azure Private Link

Precios: consulte Precios de Azure Private Link.

Limitaciones: Consulte El servicio Azure Private Link: Limitaciones

Pasos siguientes

• Más información sobre Azure Private Link.
• Más información sobre Azure Key Vault