Artikel ini akan memberi Anda panduan tentang cara mengonfigurasi pengaturan jaringan Azure Key Vault untuk bekerja dengan aplikasi lain dan layanan Azure. Untuk mempelajari tentang konfigurasi keamanan jaringan yang berbeda secara rinci, baca di sini.
Berikut petunjuk langkah demi langkah untuk mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan portal Microsoft Azure, Azure CLI, dan Azure PowerShell
- Telusuri brankas kunci yang ingin Anda amankan.
- Pilih Jaringan, lalu pilih tab Firewall dan jaringan virtual.
- Di bawah Izinkan akses dari, pilih Jaringan yang dipilih.
- Untuk menambahkan jaringan virtual yang ada ke firewall dan aturan jaringan virtual, pilih + Tambahkan jaringan virtual yang ada.
- Di bilah baru yang terbuka, pilih langganan, jaringan virtual, dan subnet yang ingin Anda izinkan akses ke brankas kunci ini. Jika jaringan virtual dan subnet yang Anda pilih tidak mengaktifkan titik akhir layanan, konfirmasikan bahwa Anda ingin mengaktifkan titik akhir layanan, dan pilih Aktifkan. Mungkin perlu waktu hingga 15 menit untuk berefek.
- Di bawah Jaringan IP, tambahkan rentang alamat IPv4 dengan mengetik rentang alamat IPv4 dalam notasi CIDR (Perutean Antar-domain Tanpa Kelas) atau alamat IP individual.
- Jika Anda ingin memperbolehkan Microsoft Trusted Services melewati Key Vault Firewall, pilih 'Ya'. Untuk daftar lengkap Layanan Tepercaya Azure Key Vault saat ini, silakan lihat tautan berikut ini.
Layanan Tepercaya Azure Key Vault
- Pilih Simpan.
Anda juga dapat menambahkan jaringan virtual dan subnet baru, lalu mengaktifkan titik akhir layanan untuk jaringan dan subnet virtual yang baru dibuat, dengan memilih + Tambahkan jaringan virtual baru. Kemudian ikuti petunjuk.
Berikut cara mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan Azure CLI
Instal Azure CLI dan masuk.
Mencantumkan aturan jaringan virtual yang tersedia. Jika Anda belum menetapkan aturan apapun untuk brankas kunci ini, daftar akan kosong.
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
Aktifkan titik akhir layanan untuk Key Vault pada jaringan virtual dan subnet yang ada.
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
Tambahkan aturan jaringan untuk jaringan virtual dan subnet.
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
Tambahkan rentang alamat IP untuk mengizinkan lalu lintas.
az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
Jika brankas kunci ini harus dapat diakses oleh layanan tepercaya apa pun, atur bypass
ke AzureServices
.
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
Aktifkan aturan jaringan dengan mengatur tindakan default ke Deny
.
az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
Berikut cara mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan PowerShell:
Instal Azure PowerShell terbaru, dan masuk.
Mencantumkan aturan jaringan virtual yang tersedia. Jika Anda belum menetapkan aturan apa pun untuk brankas kunci ini, daftar akan kosong.
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
Aktifkan titik akhir layanan untuk Key Vault pada jaringan virtual dan subnet yang ada.
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
Tambahkan aturan jaringan untuk jaringan virtual dan subnet.
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
Tambahkan rentang alamat IP untuk mengizinkan lalu lintas.
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
Jika brankas kunci ini harus dapat diakses oleh layanan tepercaya apa pun, atur bypass
ke AzureServices
.
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
Aktifkan aturan jaringan dengan mengatur tindakan default ke Deny
.
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
Referensi
Langkah selanjutnya