Titik akhir layanan jaringan virtual untuk Azure Key Vault

  • Artikel

Titik akhir layanan jaringan virtual untuk Azure Key Vault memungkinkan Anda untuk membatasi akses ke jaringan virtual tertentu. Titik akhir juga memungkinkan Anda untuk membatasi akses ke kumpulan rentang alamat IPv4 (protokol internet versi 4). Setiap pengguna yang terhubung ke brankas kunci Anda dari luar sumber tersebut akan ditolak aksesnya.

Ada satu pengecualian penting untuk pembatasan ini. Jika pengguna telah memilih untuk mengizinkan layanan Microsoft yang tepercaya, koneksi dari layanan tersebut akan diizinkan melalui firewall. Misalnya, layanan ini termasuk Office 365 Exchange Online, Office 365 SharePoint Online, komputasi Azure, Azure Resource Manager, dan Azure Backup. Pengguna tersebut masih perlu menunjukkan token Microsoft Entra yang valid, dan harus memiliki izin (dikonfigurasi sebagai kebijakan akses) untuk melakukan operasi yang diminta. Untuk informasi selengkapnya, lihat Titik akhir layanan jaringan virtual.

Skenario penggunaan

Anda dapat mengonfigurasi firewall dan jaringan virtual Key Vault untuk menolak akses ke lalu lintas dari semua jaringan (termasuk lalu lintas internet) secara default. Anda dapat memberikan akses ke lalu lintas dari jaringan virtual Azure tertentu dan rentang alamat IP internet publik, yang memungkinkan Anda membangun batas jaringan yang aman untuk aplikasi Anda.

Catatan

Firewall dan aturan jaringan virtual Key Vault hanya berlaku untuk sarana data Key Vault. Operasi sarana kontrol Key Vault (seperti membuat, menghapus, dan memodifikasi operasi, menetapkan kebijakan akses, menetapkan firewall, dan aturan jaringan virtual dan penyebaran rahasia atau kunci melalui templat ARM) tidak terpengaruh oleh firewall dan aturan jaringan virtual.

Berikut adalah beberapa contoh cara Anda dapat menggunakan titik akhir layanan:

  • Anda menggunakan Key Vault untuk menyimpan kunci enkripsi, rahasia aplikasi, dan sertifikat, serta Anda ingin memblokir akses ke brankas kunci Anda dari internet publik.
  • Anda ingin mengunci akses ke brankas kunci agar hanya aplikasi Anda, atau daftar singkat host yang ditunjuk, yang dapat terhubung ke brankas kunci Anda.
  • Anda memiliki aplikasi yang berjalan di jaringan virtual Azure Anda, dan jaringan virtual ini dikunci untuk semua lalu lintas masuk dan keluar. Aplikasi Anda masih harus terhubung ke Key Vault untuk mengambil rahasia atau sertifikat, serta menggunakan kunci kriptografi.

Berikan akses ke layanan Azure tepercaya

Anda dapat memberikan akses ke layanan Azure tepercaya ke brankas kunci, sambil mempertahankan aturan jaringan untuk aplikasi lain. Layanan tepercaya ini kemudian akan menggunakan autentikasi yang kuat untuk terhubung dengan aman ke brankas kunci Anda.

Anda dapat memberikan akses ke layanan Azure tepercaya dengan mengonfigurasi pengaturan jaringan. Untuk panduan langkah demi langkah, lihat opsi konfigurasi jaringan di artikel ini.

Saat memberikan akses ke layanan Azure tepercaya, Anda memberikan jenis akses berikut:

  • Akses tepercaya untuk operasi-operasi tertentu ke sumber daya yang terdaftar di langganan Anda.
  • Akses tepercaya ke sumber daya berdasarkan identitas terkelola.
  • Akses tepercaya di seluruh penyewa menggunakan Kredensial Identitas Federasi

Layanan tepercaya

Berikut adalah daftar layanan tepercaya yang diizinkan untuk mengakses brankas kunci jika opsi Perbolehkan layanan tepercaya diaktifkan.

Layanan tepercaya Skenario penggunaan yang didukung
Azure API Management Menyebarkan sertifikat untuk Domain Kustom dari Key Vault menggunakan MSI
Azure App Service Layanan Aplikasi hanya dipercaya untuk Menyebarkan Sertifikat Aplikasi Azure Web melalui Key Vault, untuk aplikasi individual itu sendiri, IP outbound dapat ditambahkan dalam aturan berbasis IP Key Vault
Azure Application Gateway Menggunakan sertifikat Key Vault untuk pendengar berkemampuan HTTPS
Pencadangan Azure Izinkan pencadangan serta pemulihan kunci dan rahasia yang relevan selama pencadangan Azure Virtual Machines, dengan menggunakan Azure Backup.
Azure Batch Mengonfigurasi kunci yang dikelola pelanggan untuk akun Batch dan Key Vault untuk akun Batch Langganan Pengguna
Azure Bot Service Enkripsi Azure AI Bot Service untuk data tidak aktif
Azure CDN Konfigurasikan HTTPS pada domain kustom Azure CDN: Memberikan akses Azure CDN ke brankas kunci Anda
Azure Container Registry Enkripsi registri menggunakan kunci yang dikelola pelanggan
Azure Data Factory Mengambil kredensial penyimpanan data di Key Vault dari Data Factory
Azure Data Lake Store Enkripsi data di Azure Data Lake Storage dengan kunci yang dikelola pelanggan.
Server Tunggal Azure Database for MySQL Enkripsi data untuk server Tunggal Azure Database for MySQL
Server Fleksibel Azure Database for MySQL Enkripsi data untuk server Fleksibel Azure Database for MySQL
Server tunggal Azure Database for PostgreSQL Enkripsi data untuk Server tunggal Azure Database for PostgreSQL
Server Fleksibel Azure Database for PostgreSQL Enkripsi data untuk server Fleksibel Azure Database for PostgreSQL
Azure Databricks Layanan analitik berbasis Apache Spark yang cepat, mudah, dan kolaboratif
Layanan enkripsi volume Azure Disk Encryption Izinkan akses ke Kunci BitLocker (Windows VM) atau DM Passphrase (Linux VM), dan Kunci Enkripsi Kunci, selama penyebaran komputer virtual. Ini memungkinkan Azure Disk Encryption.
Azure Disk Storage Saat dikonfigurasi dengan Disk Encryption Set (DES). Untuk informasi selengkapnya, lihat Enkripsi sisi server Azure Disk Storage menggunakan kunci yang dikelola pelanggan.
Azure Event Hubs Izinkan akses ke brankas kunci untuk skenario kunci yang dikelola pelanggan
Azure ExpressRoute Saat menggunakan MACsec dengan ExpressRoute Direct
Azure Firewall Premium Sertifikat Azure Firewall Premium
Azure Front Door Klasik Menggunakan sertifikat Key Vault untuk HTTPS
Azure Front Door Standard/Premium Menggunakan sertifikat Key Vault untuk HTTPS
Azure Import/Export Menggunakan kunci yang dikelola pelanggan di Azure Key Vault untuk layanan Import/Export
Perlindungan Informasi Azure Izinkan akses ke kunci penyewa untuk Azure Information Protection.
Pembelajaran Mesin Azure Mengamankan Azure Machine Learning dalam jaringan virtual
Pemindaian Azure Policy Kebijakan sarana kontrol untuk rahasia, kunci yang disimpan dalam bidang data
Layanan penyebaran templat Azure Resource Manager Berikan nilai aman selama penyebaran.
Azure Service Bus Izinkan akses ke brankas kunci untuk skenario kunci yang dikelola pelanggan
Database Azure SQL Enkripsi Data Transparan dengan menghadirkan dukungan Bring Your Own Key untuk Azure SQL Database dan Azure Synapse Analytics.
Azure Storage Enkripsi Layanan Penyimpanan menggunakan kunci yang dikelola pelanggan di Azure Key Vault.
Azure Synapse Analytics Enkripsi data menggunakan kunci yang dikelola pelanggan di Azure Key Vault
Layanan penyebaran Azure Virtual Machines Menyebarkan Sertifikat ke VM dari Key Vault yang dikelola pelanggan.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Izinkan akses ke kunci yang dikelola pelanggan untuk Enkripsi saat Data Tidak Aktif dengan Kunci Pelanggan.
Microsoft Purview Menggunakan Info masuk untuk autentikasi sumber di Microsoft Purview

Catatan

Anda harus menyiapkan penetapan peran RBAC Key Vault yang relevan atau kebijakan akses (warisan) untuk memungkinkan layanan yang sesuai mendapatkan akses ke Key Vault.

Langkah berikutnya