Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása
Ez a dokumentum részletesen ismerteti az Azure Key Vault tűzfalának különböző konfigurációit. A beállítások konfigurálására vonatkozó részletes utasításokat az Azure Key Vault hálózati beállításainak konfigurálása című témakörben találja.
További információ: Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai.
Tűzfalbeállítások
Ez a szakasz az Azure Key Vault tűzfal konfigurálásának különböző módjait ismerteti.
A Key Vault tűzfala le van tiltva (alapértelmezett)
Ha új kulcstartót hoz létre, alapértelmezés szerint az Azure Key Vault tűzfala le van tiltva. Minden alkalmazás és Azure-szolgáltatás hozzáférhet a kulcstartóhoz, és kéréseket küldhet a kulcstartónak. Ez a konfiguráció nem jelenti azt, hogy bármely felhasználó végrehajthat műveleteket a kulcstartón. A kulcstartó továbbra is korlátozza a kulcstartóban tárolt titkos kulcsokhoz, kulcsokhoz és tanúsítványokhoz való hozzáférést a Microsoft Entra-hitelesítés és a hozzáférési szabályzat engedélyeinek megkövetelésével. A Key Vault-hitelesítés részletesebb megismeréséhez lásd : Hitelesítés az Azure Key Vaultban. További információ: Access Azure Key Vault tűzfal mögött.
Key Vault tűzfal engedélyezve (csak megbízható szolgáltatások esetén)
Amikor engedélyezi a Key Vault tűzfalat, a "Megbízható Microsoft-szolgáltatások megkerülhetik ezt a tűzfalat" lehetőséget kap. A megbízható szolgáltatások listája nem terjed ki minden azure-szolgáltatásra. Az Azure DevOps például nem szerepel a megbízható szolgáltatások listájában. Ez nem jelenti azt, hogy a megbízható szolgáltatások listájában nem szereplő szolgáltatások nem megbízhatók vagy nem biztonságosak. A megbízható szolgáltatások listája magában foglalja azokat a szolgáltatásokat, amelyekben a Microsoft vezérli a szolgáltatáson futó összes kódot. Mivel a felhasználók egyéni kódot írhatnak az Azure-szolgáltatásokban, például az Azure DevOpsban, a Microsoft nem biztosít általános jóváhagyást a szolgáltatáshoz. Ezenkívül csak azért, mert egy szolgáltatás megjelenik a megbízható szolgáltatáslistában, nem jelenti azt, hogy minden forgatókönyv esetében engedélyezve van.
Annak megállapításához, hogy a használni kívánt szolgáltatás szerepel-e a megbízható szolgáltatáslistában, tekintse meg az Azure Key Vault virtuális hálózati szolgáltatásvégpontjait. Útmutatóért kövesse a Portal, az Azure CLI és a PowerShell útmutatóját
A Key Vault tűzfala engedélyezve van (IPv4-címek és -tartományok – Statikus IP-címek)
Ha engedélyezni szeretne egy adott szolgáltatást a Key Vault tűzfalon keresztüli hozzáféréshez, hozzáadhatja annak IP-címét a Key Vault tűzfal engedélyezési listájához. Ez a konfiguráció a statikus IP-címeket vagy jól ismert tartományokat használó szolgáltatások esetében a legjobb. Ebben az esetben 1000 CIDR-tartomány van korlátozva.
Egy Azure-erőforrás( például webalkalmazás vagy logikai alkalmazás) IP-címének vagy tartományának engedélyezéséhez hajtsa végre az alábbi lépéseket.
- Jelentkezzen be az Azure Portalra.
- Válassza ki az erőforrást (a szolgáltatás adott példányát).
- Válassza a Tulajdonságok panelt a Beállítások területen.
- Keresse meg az IP-cím mezőt.
- Másolja ki ezt az értéket vagy tartományt, és írja be a key vault tűzfal engedélyezési listájába.
Ha egy teljes Azure-szolgáltatást szeretne engedélyezni a Key Vault tűzfalán keresztül, használja az Azure nyilvánosan dokumentált adatközponti IP-címeinek listáját. Keresse meg a kívánt szolgáltatáshoz társított IP-címeket a kívánt régióban, és adja hozzá ezeket az IP-címeket a key vault tűzfalához.
Key Vault tűzfal engedélyezve (virtuális hálózatok – dinamikus IP-címek)
Ha egy Azure-erőforrást, például egy virtuális gépet a kulcstartón keresztül próbál engedélyezni, előfordulhat, hogy nem tudja statikus IP-címeket használni, és nem szeretné engedélyezni az Azure-beli virtuális gépek összes IP-címét a kulcstartó eléréséhez.
Ebben az esetben létre kell hoznia az erőforrást egy virtuális hálózaton belül, majd engedélyeznie kell az adott virtuális hálózat és alhálózat forgalmának elérését a kulcstartóhoz.
- Jelentkezzen be az Azure Portalra.
- Válassza ki a konfigurálni kívánt kulcstartót.
- Válassza a Hálózatkezelés panelt.
- Válassza a "+ Meglévő virtuális hálózat hozzáadása" lehetőséget.
- Válassza ki a key vault tűzfalán keresztül engedélyezni kívánt virtuális hálózatot és alhálózatot.
A Key Vault tűzfala engedélyezve van (privát kapcsolat)
Ha tudni szeretné, hogyan konfigurálhat privát kapcsolatkapcsolatot a kulcstartón, tekintse meg a dokumentumot itt.
Fontos
A tűzfalszabályok életbe lépése után a felhasználók csak akkor hajthatnak végre Key Vault-adatsík-műveleteket, ha a kérések engedélyezett virtuális hálózatokból vagy IPv4-címtartományokból származnak. Ez a Key Vault Azure Portalról való elérésére is vonatkozik. Bár a felhasználók az Azure Portalon tallózhatnak egy kulcstartóhoz, előfordulhat, hogy nem tudják listázni a kulcsokat, titkos kulcsokat vagy tanúsítványokat, ha az ügyfélszámítógépük nem szerepel az engedélyezett listában. Ez hatással van a más Azure-szolgáltatások által használt Key Vault-pickerre is. Előfordulhat, hogy a felhasználók megtekinthetik a kulcstartók listáját, de a kulcsokat nem, ha a tűzfalszabályok megakadályozzák az ügyfélgépüket.
Feljegyzés
Vegye figyelembe a következő konfigurációs korlátozásokat:
- Legfeljebb 200 virtuális hálózati szabály és 1000 IPv4-szabály engedélyezett.
- Az IP-hálózati szabályok csak nyilvános IP-címekre engedélyezettek. A magánhálózatok számára fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10., 172.16-31 és 192.168. címekkel kezdődő címeket.
- Jelenleg csak az IPv4-címek támogatottak.
Nyilvános hozzáférés letiltva (csak privát végpont)
A hálózati biztonság javítása érdekében konfigurálhatja a tárolót úgy, hogy letiltsa a nyilvános hozzáférést. Ez megtagadja az összes nyilvános konfigurációt, és csak privát végpontokon keresztül engedélyezi a kapcsolatokat.
Hivatkozások
- ARM-sablonhivatkozás: Azure Key Vault ARM-sablonreferenciája
- Azure CLI-parancsok: az keyvault network-rule
- Azure PowerShell-parancsmagok: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet