Az Azure Key Vault hálózati beállításainak konfigurálása

Ez a cikk útmutatást nyújt az Azure Key Vault hálózati beállításainak konfigurálásához más alkalmazásokkal és Azure-szolgáltatásokkal való együttműködéshez. A különböző hálózati biztonsági konfigurációk részletes megismeréséhez olvassa el itt.

Az alábbi lépésenkénti utasítások a Key Vault tűzfalának és virtuális hálózatainak konfigurálásához az Azure Portal, az Azure CLI és az Azure PowerShell használatával

Portál

1. Keresse meg a biztonságossá tenni kívánt kulcstartót.
2. Válassza a Hálózatkezelés lehetőséget, majd a Tűzfalak és virtuális hálózatok lapot.
3. Válassza a Kijelölt hálózatok lehetőséget a Hozzáférés engedélyezése területen.
4. Ha meglévő virtuális hálózatokat szeretne hozzáadni a tűzfalakhoz és a virtuális hálózati szabályokhoz, válassza a + Meglévő virtuális hálózatok hozzáadása lehetőséget.
5. A megnyíló új panelen válassza ki azt az előfizetést, virtuális hálózatokat és alhálózatokat, amelyekhez engedélyezni szeretné a kulcstartó elérését. Ha a kiválasztott virtuális hálózatok és alhálózatok nem rendelkeznek szolgáltatásvégpontokkal, győződjön meg arról, hogy engedélyezni szeretné a szolgáltatásvégpontokat, és válassza az Engedélyezés lehetőséget. A hatás érvénybe lépése akár 15 percet is igénybe vehet.
6. Az IP-hálózatok területen adja hozzá az IPv4-címtartományokat az IPv4-címtartományok CIDR (osztály nélküli tartományok közötti útválasztás) jelölésében vagy egyéni IP-címekben való beírásával.
7. Ha engedélyezni szeretné, hogy a Microsoft Megbízható szolgáltatások megkerüljék a Key Vault tűzfalát, válassza az Igen lehetőséget. Az aktuális Key Vault megbízható szolgáltatások teljes listájáért tekintse meg az alábbi hivatkozást. Az Azure Key Vault megbízható szolgáltatásai
8. Válassza a Mentés lehetőséget.

Új virtuális hálózatokat és alhálózatokat is hozzáadhat, majd engedélyezheti a szolgáltatásvégpontokat az újonnan létrehozott virtuális hálózatokhoz és alhálózatokhoz a + Új virtuális hálózat hozzáadása lehetőséget választva. Ezután kövesse az utasításokat.

Azure CLI

A Key Vault tűzfalainak és virtuális hálózatainak konfigurálása az Azure CLI használatával

1. Telepítse az Azure CLI-t , és jelentkezzen be.

2. Az elérhető virtuális hálózati szabályok listája. Ha nem állított be semmilyen szabályt ehhez a kulcstartóhoz, a lista üres lesz.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Szolgáltatásvégpont engedélyezése a Key Vaulthoz egy meglévő virtuális hálózaton és alhálózaton.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Adjon hozzá egy hálózati szabályt egy virtuális hálózathoz és alhálózathoz.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Adjon hozzá egy IP-címtartományt, amelyből engedélyezi a forgalmat.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Ha ezt a kulcstartót bármely megbízható szolgáltatásnak el kell érnie, állítsa a bypass következőre AzureServices: .

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Kapcsolja be a hálózati szabályokat az alapértelmezett művelet Denybeállításával.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Az alábbiak szerint konfigurálhatja a Key Vault tűzfalait és virtuális hálózatait a PowerShell használatával:

1. Telepítse a legújabb Azure PowerShellt, és jelentkezzen be.

2. Az elérhető virtuális hálózati szabályok listája. Ha nem állított be szabályokat ehhez a kulcstartóhoz, a lista üres lesz.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. A Key Vault szolgáltatásvégpontjának engedélyezése meglévő virtuális hálózaton és alhálózaton.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Adjon hozzá egy hálózati szabályt egy virtuális hálózathoz és alhálózathoz.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Adjon hozzá egy IP-címtartományt, amelyből engedélyezi a forgalmat.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Ha ezt a kulcstartót bármely megbízható szolgáltatásnak el kell érnie, állítsa a bypass következőre AzureServices: .

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Kapcsolja be a hálózati szabályokat az alapértelmezett művelet Denybeállításával.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Hivatkozások

• ARM-sablonhivatkozás: Azure Key Vault ARM-sablonreferenciája
• Azure CLI-parancsok: az keyvault network-rule
• Azure PowerShell-parancsmagok: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Következő lépések

• A Key Vault virtuális hálózati szolgáltatásvégpontjai
• Az Azure Key Vault biztonsági áttekintése