Virtuális hálózati szolgáltatásvégpontok az Azure Key Vaulthoz
Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai lehetővé teszik egy adott virtuális hálózathoz való hozzáférés korlátozását. A végpontok lehetővé teszik az IPv4 -címtartományok (4-es internetprotokoll-verzió) listájának elérését is. Minden olyan felhasználó, aki ezeken a forrásokon kívülről csatlakozik a kulcstartóhoz, megtagadja a hozzáférést.
A korlátozás alól egy fontos kivétel van. Ha egy felhasználó engedélyezte a megbízható Microsoft-szolgáltatások, a szolgáltatások kapcsolatai a tűzfalon keresztül lesznek engedélyezve. Ilyen szolgáltatások például az Office 365 Exchange Online, az Office 365 SharePoint Online, az Azure Compute, az Azure Resource Manager és az Azure Backup. Az ilyen felhasználóknak továbbra is érvényes Microsoft Entra-jogkivonatot kell bemutatniuk, és engedélyekkel kell rendelkezniük (hozzáférési szabályzatként konfigurálva) a kért művelet végrehajtásához. További információ: Virtuális hálózati szolgáltatásvégpontok.
Használati forgatókönyvek
A Key Vault tűzfalait és virtuális hálózatait úgy konfigurálhatja, hogy alapértelmezés szerint minden hálózatból (beleértve az internetes forgalmat is) megtagadják a forgalomhoz való hozzáférést. Bizonyos Azure-beli virtuális hálózatok és nyilvános internetes IP-címtartományok forgalmához hozzáférést biztosíthat, így biztonságos hálózati határt hozhat létre az alkalmazások számára.
Feljegyzés
A Key Vault tűzfalai és a virtuális hálózati szabályok csak a Key Vault adatsíkjára vonatkoznak. A Key Vault vezérlősík-műveleteire (például a műveletek létrehozására, törlésére és módosítására, a hozzáférési szabályzatok beállítására, a tűzfalak és a virtuális hálózati szabályok beállítására, valamint a titkos kódok vagy kulcsok ARM-sablonokon keresztüli üzembe helyezésére) a tűzfalak és a virtuális hálózati szabályok nem vonatkoznak.
Íme néhány példa a szolgáltatásvégpontok használatára:
- A Key Vault használatával titkosítási kulcsokat, alkalmazáskulcsokat és tanúsítványokat tárol, és a nyilvános internetről szeretné letiltani a kulcstartóhoz való hozzáférést.
- Zárolni szeretné a kulcstartóhoz való hozzáférést, hogy csak az alkalmazás vagy a kijelölt gazdagépek rövid listája csatlakozzon a kulcstartóhoz.
- Van egy alkalmazás az Azure-beli virtuális hálózatában, és ez a virtuális hálózat le van zárva minden bejövő és kimenő forgalom esetében. Az alkalmazásnak továbbra is csatlakoznia kell a Key Vaulthoz titkos kulcsok vagy tanúsítványok lekéréséhez, illetve titkosítási kulcsok használatához.
Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
Hozzáférést biztosíthat a megbízható Azure-szolgáltatásokhoz a kulcstartóhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a kulcstartóhoz való biztonságos csatlakozáshoz.
A hálózati beállítások konfigurálásával hozzáférést biztosíthat a megbízható Azure-szolgáltatásokhoz. Részletes útmutatásért tekintse meg a cikk hálózati konfigurációs beállításait .
Amikor hozzáférést ad a megbízható Azure-szolgáltatásokhoz, a következő típusú hozzáférést adja meg:
- Megbízható hozzáférés a kiválasztott műveletekhez az előfizetésben regisztrált erőforrásokhoz.
- Felügyelt identitáson alapuló, megbízható hozzáférés az erőforrásokhoz.
- Megbízható hozzáférés a bérlők között összevont identitás hitelesítő adatok használatával
Megbízható szolgáltatások
Az alábbi lista olyan megbízható szolgáltatásokat tartalmaz, amelyek hozzáférhetnek a kulcstartóhoz, ha engedélyezve van a Megbízható szolgáltatások engedélyezése lehetőség.
Feljegyzés
A megfelelő Key Vault RBAC-szerepkör-hozzárendeléseket vagy hozzáférési szabályzatokat (örökölt) be kell állítania, hogy a megfelelő szolgáltatások hozzáférjenek a Key Vaulthoz.
Következő lépések
- Részletes útmutatásért lásd: Azure Key Vault-tűzfalak és virtuális hálózatok konfigurálása
- tekintse meg az Azure Key Vault biztonsági áttekintését