Mengonfigurasi pengaturan jaringan Azure Key Vault

Artikel ini akan memberi Anda panduan tentang cara mengonfigurasi pengaturan jaringan Azure Key Vault agar berfungsi dengan aplikasi lain dan layanan Azure. Untuk mempelajari tentang konfigurasi keamanan jaringan yang berbeda secara rinci, baca di sini.

Berikut adalah instruksi langkah demi langkah untuk mengonfigurasi firewall Key Vault dan jaringan virtual dengan menggunakan portal Microsoft Azure, Azure CLI, dan Azure PowerShell

Portal

1. Telusuri ke brankas kunci yang ingin Anda amankan.
2. Pilih Jaringan, lalu pilih tab Firewall dan jaringan virtual.
3. Di bawah Izinkan akses dari, pilih Jaringan yang dipilih.
4. Untuk menambahkan jaringan virtual yang ada ke firewall dan aturan jaringan virtual, pilih + Tambahkan jaringan virtual yang ada.
5. Di bilah baru yang terbuka, pilih langganan, jaringan virtual, dan subnet yang ingin Anda izinkan akses ke brankas kunci ini. Jika jaringan virtual dan subnet yang Anda pilih tidak mengaktifkan titik akhir layanan, konfirmasikan bahwa Anda ingin mengaktifkan titik akhir layanan, dan pilih Aktifkan. Mungkin perlu waktu hingga 15 menit untuk berefek.
6. Di bawah Jaringan IP, tambahkan rentang alamat IPv4 dengan mengetik rentang alamat IPv4 di notasi CIDR (Classless Inter-domain Routing) atau alamat IP individual.
7. Jika Anda ingin memperbolehkan Microsoft Trusted Services melewati Key Vault Firewall, pilih 'Ya'. Untuk daftar lengkap Layanan Tepercaya Azure Key Vault saat ini, silakan lihat tautan berikut ini. Daftar Layanan Tepercaya Azure Key Vault
8. Pilih Simpan.

Anda juga dapat menambahkan jaringan virtual dan subnet baru, lalu mengaktifkan titik akhir layanan untuk jaringan dan subnet virtual yang baru dibuat, dengan memilih + Tambahkan jaringan virtual baru. Ikuti prompt perintah.

Azure CLI

Berikut cara mengonfigurasi firewall Dan jaringan virtual Azure Key Vault dengan menggunakan Azure CLI

1. Pasang Azure CLI dan masuk.

2. Daftar aturan jaringan virtual yang tersedia. Jika Anda belum menetapkan aturan apa pun untuk brankas kunci ini, daftar akan kosong.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Aktifkan titik akhir layanan untuk Azure Key Vault pada jaringan virtual dan subnet yang ada.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Tambahkan aturan jaringan untuk jaringan virtual dan subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Tambahkan rentang alamat IP untuk memperbolehkan lalu lintas.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Jika brankas kunci ini harus dapat diakses oleh layanan tepercaya apa pun, atur bypass ke AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Aktifkan aturan jaringan dengan mengatur tindakan default ke Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Catatan

Kami menyarankan agar Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Berikut cara mengonfigurasi firewall Dan jaringan virtual Azure Key Vault dengan menggunakan portal Azure:

1. Pasang Azure PowerShell terbaru dan masuk.

2. Daftar aturan jaringan virtual yang tersedia. Jika Anda belum menetapkan aturan apa pun untuk brankas kunci ini, daftar akan kosong.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Aktifkan titik akhir layanan untuk Vault Kunci pada jaringan virtual dan subnet yang ada.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Tambahkan aturan jaringan untuk jaringan virtual dan subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Tambahkan rentang alamat IP untuk memperbolehkan lalu lintas.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Jika brankas kunci ini harus dapat diakses oleh layanan tepercaya apa pun, atur bypass ke AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Aktifkan aturan jaringan dengan mengatur tindakan default ke Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Referensi

• Referensi Templat ARM: Referensi Templat Arm Azure Key Vault
• Perintah Azure CLI: az keyvault network-rule
• Azure PowerShell cmdlets: Dapatkan-AzKeyVault, Dapatkan-AzKeyVaultNetworkRule, Hapus-AzKeyVaultNetworkRule, Perbarui-AzKeyVaultNetworkRuleSet

Langkah berikutnya

• Titik akhir layanan jaringan virtual untuk Vault Kunci Azure
• Ringkasan keamanan Azure Key Vault