Mengonfigurasi pengaturan jaringan Azure Key Vault

Artikel ini akan memberi Anda panduan tentang cara mengonfigurasi pengaturan jaringan Azure Key Vault untuk bekerja dengan aplikasi lain dan layanan Azure. Untuk mempelajari tentang konfigurasi keamanan jaringan yang berbeda secara rinci, baca di sini.

Berikut petunjuk langkah demi langkah untuk mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan portal Microsoft Azure, Azure CLI, dan Azure PowerShell

Portal

1. Telusuri brankas kunci yang ingin Anda amankan.
2. Pilih Jaringan, lalu pilih tab Firewall dan jaringan virtual.
3. Di bawah Izinkan akses dari, pilih Jaringan yang dipilih.
4. Untuk menambahkan jaringan virtual yang ada ke firewall dan aturan jaringan virtual, pilih + Tambahkan jaringan virtual yang ada.
5. Di bilah baru yang terbuka, pilih langganan, jaringan virtual, dan subnet yang ingin Anda izinkan akses ke brankas kunci ini. Jika jaringan virtual dan subnet yang Anda pilih tidak mengaktifkan titik akhir layanan, konfirmasikan bahwa Anda ingin mengaktifkan titik akhir layanan, dan pilih Aktifkan. Mungkin perlu waktu hingga 15 menit untuk berefek.
6. Di bawah Jaringan IP, tambahkan rentang alamat IPv4 dengan mengetik rentang alamat IPv4 dalam notasi CIDR (Perutean Antar-domain Tanpa Kelas) atau alamat IP individual.
7. Jika Anda ingin memperbolehkan Microsoft Trusted Services melewati Key Vault Firewall, pilih 'Ya'. Untuk daftar lengkap Layanan Tepercaya Azure Key Vault saat ini, silakan lihat tautan berikut ini. Layanan Tepercaya Azure Key Vault
8. Pilih Simpan.

Anda juga dapat menambahkan jaringan virtual dan subnet baru, lalu mengaktifkan titik akhir layanan untuk jaringan dan subnet virtual yang baru dibuat, dengan memilih + Tambahkan jaringan virtual baru. Kemudian ikuti petunjuk.

Azure CLI

Berikut cara mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan Azure CLI

1. Instal Azure CLI dan masuk.

2. Mencantumkan aturan jaringan virtual yang tersedia. Jika Anda belum menetapkan aturan apapun untuk brankas kunci ini, daftar akan kosong.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Aktifkan titik akhir layanan untuk Key Vault pada jaringan virtual dan subnet yang ada.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Tambahkan aturan jaringan untuk jaringan virtual dan subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Tambahkan rentang alamat IP untuk mengizinkan lalu lintas.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Jika brankas kunci ini harus dapat diakses oleh layanan tepercaya apa pun, atur bypass ke AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Aktifkan aturan jaringan dengan mengatur tindakan default ke Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Nota

Kami menyarankan agar Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Berikut cara mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan PowerShell:

1. Instal Azure PowerShell terbaru, dan masuk.

2. Mencantumkan aturan jaringan virtual yang tersedia. Jika Anda belum menetapkan aturan apa pun untuk brankas kunci ini, daftar akan kosong.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Aktifkan titik akhir layanan untuk Key Vault pada jaringan virtual dan subnet yang ada.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Tambahkan aturan jaringan untuk jaringan virtual dan subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Tambahkan rentang alamat IP untuk mengizinkan lalu lintas.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Jika brankas kunci ini harus dapat diakses oleh layanan tepercaya apa pun, atur bypass ke AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Aktifkan aturan jaringan dengan mengatur tindakan default ke Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Referensi

• Referensi Templat ARM: Referensi Templat Arm Azure Key Vault
• Perintah Azure CLI: az keyvault network-rule
• Azure PowerShell cmdlets: Dapatkan-AzKeyVault, Dapatkan-AzKeyVaultNetworkRule, Hapus-AzKeyVaultNetworkRule, Perbarui-AzKeyVaultNetworkRuleSet

Langkah selanjutnya

• Titik akhir layanan jaringan virtual untuk Key Vault
• Ringkasan keamanan Azure Key Vault