Virtuális hálózati szolgáltatásvégpontok az Azure Key Vaulthoz

  • Cikk

Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai lehetővé teszik egy adott virtuális hálózathoz való hozzáférés korlátozását. A végpontok lehetővé teszik az IPv4 -címtartományok (4-es internetprotokoll-verzió) listájának elérését is. Minden olyan felhasználó, aki ezeken a forrásokon kívülről csatlakozik a kulcstartóhoz, megtagadja a hozzáférést.

A korlátozás alól egy fontos kivétel van. Ha egy felhasználó engedélyezte a megbízható Microsoft-szolgáltatások, a szolgáltatások kapcsolatai a tűzfalon keresztül lesznek engedélyezve. Ilyen szolgáltatások például az Office 365 Exchange Online, az Office 365 SharePoint Online, az Azure Compute, az Azure Resource Manager és az Azure Backup. Az ilyen felhasználóknak továbbra is érvényes Microsoft Entra-jogkivonatot kell bemutatniuk, és engedélyekkel kell rendelkezniük (hozzáférési szabályzatként konfigurálva) a kért művelet végrehajtásához. További információ: Virtuális hálózati szolgáltatásvégpontok.

Használati forgatókönyvek

A Key Vault tűzfalait és virtuális hálózatait úgy konfigurálhatja, hogy alapértelmezés szerint minden hálózatból (beleértve az internetes forgalmat is) megtagadják a forgalomhoz való hozzáférést. Bizonyos Azure-beli virtuális hálózatok és nyilvános internetes IP-címtartományok forgalmához hozzáférést biztosíthat, így biztonságos hálózati határt hozhat létre az alkalmazások számára.

Feljegyzés

A Key Vault tűzfalai és a virtuális hálózati szabályok csak a Key Vault adatsíkjára vonatkoznak. A Key Vault vezérlősík-műveleteire (például a műveletek létrehozására, törlésére és módosítására, a hozzáférési szabályzatok beállítására, a tűzfalak és a virtuális hálózati szabályok beállítására, valamint a titkos kódok vagy kulcsok ARM-sablonokon keresztüli üzembe helyezésére) a tűzfalak és a virtuális hálózati szabályok nem vonatkoznak.

Íme néhány példa a szolgáltatásvégpontok használatára:

  • A Key Vault használatával titkosítási kulcsokat, alkalmazáskulcsokat és tanúsítványokat tárol, és a nyilvános internetről szeretné letiltani a kulcstartóhoz való hozzáférést.
  • Zárolni szeretné a kulcstartóhoz való hozzáférést, hogy csak az alkalmazás vagy a kijelölt gazdagépek rövid listája csatlakozzon a kulcstartóhoz.
  • Van egy alkalmazás az Azure-beli virtuális hálózatában, és ez a virtuális hálózat le van zárva minden bejövő és kimenő forgalom esetében. Az alkalmazásnak továbbra is csatlakoznia kell a Key Vaulthoz titkos kulcsok vagy tanúsítványok lekéréséhez, illetve titkosítási kulcsok használatához.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Hozzáférést biztosíthat a megbízható Azure-szolgáltatásokhoz a kulcstartóhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a kulcstartóhoz való biztonságos csatlakozáshoz.

A hálózati beállítások konfigurálásával hozzáférést biztosíthat a megbízható Azure-szolgáltatásokhoz. Részletes útmutatásért tekintse meg a cikk hálózati konfigurációs beállításait .

Amikor hozzáférést ad a megbízható Azure-szolgáltatásokhoz, a következő típusú hozzáférést adja meg:

  • Megbízható hozzáférés a kiválasztott műveletekhez az előfizetésben regisztrált erőforrásokhoz.
  • Felügyelt identitáson alapuló, megbízható hozzáférés az erőforrásokhoz.
  • Megbízható hozzáférés a bérlők között összevont identitás hitelesítő adatok használatával

Megbízható szolgáltatások

Az alábbi lista olyan megbízható szolgáltatásokat tartalmaz, amelyek hozzáférhetnek a kulcstartóhoz, ha engedélyezve van a Megbízható szolgáltatások engedélyezése lehetőség.

Megbízható szolgáltatás Támogatott használati forgatókönyvek
Azure API Management Egyéni tartomány tanúsítványainak üzembe helyezése a Key Vaultból MSI használatával
Azure App Service Az App Service csak az Azure Web App Certificate Key Vaulton keresztüli üzembe helyezéséhez megbízható, az egyes alkalmazások esetében a kimenő IP-címek hozzáadhatók a Key Vault IP-alapú szabályaihoz
Azure Application Gateway Key Vault-tanúsítványok használata HTTPS-kompatibilis figyelőkhöz
Azure Backup A megfelelő kulcsok és titkos kódok biztonsági mentésének és visszaállításának engedélyezése az Azure Virtual Machines biztonsági mentése során az Azure Backup használatával.
Azure Batch Ügyfél által felügyelt kulcsok konfigurálása Batch-fiókokhoz és Key Vault felhasználói előfizetési Batch-fiókokhoz
Azure Bot Service Azure AI Bot Service-titkosítás inaktív adatokhoz
Azure CDN HTTPS konfigurálása egyéni Azure CDN-tartományon: Azure CDN-hozzáférés biztosítása a kulcstartóhoz
Azure Container Registry Regisztrációs adatbázis titkosítása ügyfél által felügyelt kulcsokkal
Azure Data Factory Adattár hitelesítő adatainak lekérése a Key Vaultban a Data Factoryből
Azure Data Lake Store Adatok titkosítása az Azure Data Lake Store-ban egy ügyfél által felügyelt kulccsal.
Önálló Azure Database for MySQL-kiszolgáló Adattitkosítás önálló Azure Database for MySQL-kiszolgálóhoz
Rugalmas Azure Database for MySQL-kiszolgáló Rugalmas Azure Database for MySQL-kiszolgáló adattitkosítása
Önálló Azure Database for PostgreSQL-kiszolgáló Adattitkosítás önálló Azure Database for PostgreSQL-kiszolgálóhoz
Rugalmas Azure Database for PostgreSQL-kiszolgáló Rugalmas Azure Database for PostgreSQL-kiszolgáló adattitkosítása
Azure Databricks Gyors, egyszerű és együttműködésen alapuló Apache Spark-alapú elemzési szolgáltatás
Azure Disk Encryption kötettitkosítási szolgáltatás Engedélyezze a BitLocker-kulcs (Windows virtuális gép) vagy a DM-jelszó (Linux rendszerű virtuális gép) és a kulcstitkosítási kulcs elérését a virtuális gépek üzembe helyezése során. Ez lehetővé teszi az Azure Disk Encryption használatát.
Azure Disk Storage Lemeztitkosítási csoporttal (DES) konfigurálva. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása ügyfél által felügyelt kulcsokkal.
Azure-eseményközpontok Kulcstartóhoz való hozzáférés engedélyezése az ügyfél által felügyelt kulcsok forgatókönyvéhez
Azure ExpressRoute A MACsec és az ExpressRoute Direct használata esetén
Azure Firewall Premium Prémium szintű Azure Firewall-tanúsítványok
Klasszikus Azure Front Door Key Vault-tanúsítványok használata HTTPS-hez
Azure Front Door standard/prémium Key Vault-tanúsítványok használata HTTPS-hez
Azure Import/Export Ügyfél által felügyelt kulcsok használata az Azure Key Vault importálási/exportálási szolgáltatásban
Azure Information Protection Hozzáférés engedélyezése az Azure Information Protection bérlőkulcsához .
Azure Machine Learning Az Azure Machine Tanulás védelme virtuális hálózaton
Azure Policy Scan Vezérlősík-szabályzatok titkos kódokhoz, adatsíkban tárolt kulcsokhoz
Azure Resource Manager-sablon üzembehelyezési szolgáltatás Biztonságos értékek átadása az üzembe helyezés során.
Azure Service Bus Kulcstartóhoz való hozzáférés engedélyezése az ügyfél által felügyelt kulcsok forgatókönyvéhez
Azure SQL Database transzparens adattitkosítás az Azure SQL Database és az Azure Synapse Analytics saját kulcsú támogatásával.
Azure Storage Storage Service Encryption ügyfél által felügyelt kulcsokkal az Azure Key Vaultban.
Azure Synapse Analytics Adatok titkosítása ügyfél által felügyelt kulcsokkal az Azure Key Vaultban
Azure Virtual Machines üzembehelyezési szolgáltatás Tanúsítványokat helyezhet üzembe virtuális gépeken az ügyfél által felügyelt Key Vaultból.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Az ügyfél által kezelt kulcsokhoz való hozzáférés engedélyezése a Data-At-Rest titkosításhoz ügyfélkulcs használatával.
Microsoft Purview Hitelesítő adatok használata forráshitelesítéshez a Microsoft Purview-ban

Feljegyzés

A megfelelő Key Vault RBAC-szerepkör-hozzárendeléseket vagy hozzáférési szabályzatokat (örökölt) be kell állítania, hogy a megfelelő szolgáltatások hozzáférjenek a Key Vaulthoz.

Következő lépések