Titik akhir layanan jaringan virtual untuk Azure Key Vault

Titik akhir layanan jaringan virtual untuk Azure Key Vault memungkinkan Anda untuk membatasi akses ke jaringan virtual tertentu. Titik akhir juga memungkinkan Anda untuk membatasi akses ke kumpulan rentang alamat IPv4 (protokol internet versi 4). Setiap pengguna yang terhubung ke brankas kunci Anda dari luar sumber tersebut akan ditolak aksesnya.

Ada satu pengecualian penting untuk pembatasan ini. Jika pengguna telah memilih untuk mengizinkan layanan Microsoft yang tepercaya, koneksi dari layanan tersebut akan diizinkan melalui firewall. Misalnya, layanan ini termasuk Office 365 Exchange Online, Office 365 SharePoint Online, komputasi Azure, Azure Resource Manager, dan Azure Backup. Pengguna tersebut masih perlu menunjukkan token Microsoft Entra yang valid, dan harus memiliki izin (dikonfigurasi sebagai kebijakan akses) untuk melakukan operasi yang diminta. Untuk informasi selengkapnya, lihat Titik akhir layanan jaringan virtual.

Skenario penggunaan

Anda dapat mengonfigurasi firewall dan jaringan virtual Key Vault untuk menolak akses ke lalu lintas dari semua jaringan (termasuk lalu lintas internet) secara default. Anda dapat memberikan akses ke lalu lintas dari jaringan virtual Azure tertentu dan rentang alamat IP internet publik, yang memungkinkan Anda membangun batas jaringan yang aman untuk aplikasi Anda.

Catatan

Firewall dan aturan jaringan virtual Key Vault hanya berlaku untuk sarana data Key Vault. Operasi sarana kontrol Key Vault (seperti membuat, menghapus, dan memodifikasi operasi, menetapkan kebijakan akses, menetapkan firewall, dan aturan jaringan virtual dan penyebaran rahasia atau kunci melalui templat ARM) tidak terpengaruh oleh firewall dan aturan jaringan virtual.

Berikut adalah beberapa contoh cara Anda dapat menggunakan titik akhir layanan:

• Anda menggunakan Key Vault untuk menyimpan kunci enkripsi, rahasia aplikasi, dan sertifikat, serta Anda ingin memblokir akses ke brankas kunci Anda dari internet publik.
• Anda ingin mengunci akses ke brankas kunci agar hanya aplikasi Anda, atau daftar singkat host yang ditunjuk, yang dapat terhubung ke brankas kunci Anda.
• Anda memiliki aplikasi yang berjalan di jaringan virtual Azure Anda, dan jaringan virtual ini dikunci untuk semua lalu lintas masuk dan keluar. Aplikasi Anda masih harus terhubung ke Key Vault untuk mengambil rahasia atau sertifikat, serta menggunakan kunci kriptografi.

Berikan akses ke layanan Azure tepercaya

Anda dapat memberikan akses ke layanan Azure tepercaya ke brankas kunci, sambil mempertahankan aturan jaringan untuk aplikasi lain. Layanan tepercaya ini kemudian akan menggunakan autentikasi yang kuat untuk terhubung dengan aman ke brankas kunci Anda.

Anda dapat memberikan akses ke layanan Azure tepercaya dengan mengonfigurasi pengaturan jaringan. Untuk panduan langkah demi langkah, lihat opsi konfigurasi jaringan di artikel ini.

Saat memberikan akses ke layanan Azure tepercaya, Anda memberikan jenis akses berikut:

• Akses tepercaya untuk operasi-operasi tertentu ke sumber daya yang terdaftar di langganan Anda.
• Akses tepercaya ke sumber daya berdasarkan identitas terkelola.
• Akses tepercaya di seluruh penyewa menggunakan Kredensial Identitas Federasi

Layanan tepercaya

Berikut adalah daftar layanan tepercaya yang diizinkan untuk mengakses brankas kunci jika opsi Perbolehkan layanan tepercaya diaktifkan.

Layanan tepercaya	Skenario penggunaan yang didukung
Azure API Management	Menyebarkan sertifikat untuk Domain Kustom dari Key Vault menggunakan MSI
Azure App Service	Layanan Aplikasi hanya dipercaya untuk Menyebarkan Sertifikat Aplikasi Azure Web melalui Key Vault, untuk aplikasi individual itu sendiri, IP outbound dapat ditambahkan dalam aturan berbasis IP Key Vault
Azure Application Gateway	Menggunakan sertifikat Key Vault untuk pendengar berkemampuan HTTPS
Pencadangan Azure	Izinkan pencadangan serta pemulihan kunci dan rahasia yang relevan selama pencadangan Azure Virtual Machines, dengan menggunakan Azure Backup.
Azure Batch	Mengonfigurasi kunci yang dikelola pelanggan untuk akun Batch dan Key Vault untuk akun Batch Langganan Pengguna
Azure Bot Service	Enkripsi Azure AI Bot Service untuk data tidak aktif
Azure CDN	Konfigurasikan HTTPS pada domain kustom Azure CDN: Memberikan akses Azure CDN ke brankas kunci Anda
Azure Container Registry	Enkripsi registri menggunakan kunci yang dikelola pelanggan
Azure Data Factory	Mengambil kredensial penyimpanan data di Key Vault dari Data Factory
Azure Data Lake Store	Enkripsi data di Azure Data Lake Storage dengan kunci yang dikelola pelanggan.
Azure Data Manager untuk Pertanian	Menyimpan dan menggunakan kunci lisensi Anda sendiri
Server Tunggal Azure Database for MySQL	Enkripsi data untuk server Tunggal Azure Database for MySQL
Server Fleksibel Azure Database for MySQL	Enkripsi data untuk server Fleksibel Azure Database for MySQL
Server tunggal Azure Database for PostgreSQL	Enkripsi data untuk Server tunggal Azure Database for PostgreSQL
Server Fleksibel Azure Database for PostgreSQL	Enkripsi data untuk server Fleksibel Azure Database for PostgreSQL
Azure Databricks	Layanan analitik berbasis Apache Spark yang cepat, mudah, dan kolaboratif
Layanan enkripsi volume Azure Disk Encryption	Izinkan akses ke Kunci BitLocker (Windows VM) atau DM Passphrase (Linux VM), dan Kunci Enkripsi Kunci, selama penyebaran komputer virtual. Ini memungkinkan Azure Disk Encryption.
Azure Disk Storage	Saat dikonfigurasi dengan Disk Encryption Set (DES). Untuk informasi selengkapnya, lihat Enkripsi sisi server Azure Disk Storage menggunakan kunci yang dikelola pelanggan.
Azure Event Hubs	Izinkan akses ke brankas kunci untuk skenario kunci yang dikelola pelanggan
Azure ExpressRoute	Saat menggunakan MACsec dengan ExpressRoute Direct
Azure Firewall Premium	Sertifikat Azure Firewall Premium
Azure Front Door Klasik	Menggunakan sertifikat Key Vault untuk HTTPS
Azure Front Door Standard/Premium	Menggunakan sertifikat Key Vault untuk HTTPS
Azure Import/Export	Menggunakan kunci yang dikelola pelanggan di Azure Key Vault untuk layanan Import/Export
Perlindungan Informasi Azure	Izinkan akses ke kunci penyewa untuk Azure Information Protection.
Pembelajaran Mesin Azure	Mengamankan Azure Machine Learning dalam jaringan virtual
File Azure NetApp	Mengizinkan akses kunci yang dikelola pelanggan di Azure Key Vault
Pemindaian Azure Policy	Kebijakan sarana kontrol untuk rahasia, kunci yang disimpan dalam bidang data
Layanan penyebaran templat Azure Resource Manager	Berikan nilai aman selama penyebaran.
Azure Service Bus	Izinkan akses ke brankas kunci untuk skenario kunci yang dikelola pelanggan
Database Azure SQL	Enkripsi Data Transparan dengan menghadirkan dukungan Bring Your Own Key untuk Azure SQL Database dan Azure Synapse Analytics.
Azure Storage	Enkripsi Layanan Penyimpanan menggunakan kunci yang dikelola pelanggan di Azure Key Vault.
Azure Synapse Analytics	Enkripsi data menggunakan kunci yang dikelola pelanggan di Azure Key Vault
Layanan penyebaran Azure Virtual Machines	Menyebarkan Sertifikat ke VM dari Key Vault yang dikelola pelanggan.
Exchange Online, SharePoint Online, M365DataAtRestEncryption	Izinkan akses ke kunci yang dikelola pelanggan untuk Enkripsi saat Data Tidak Aktif dengan Kunci Pelanggan.
Microsoft Purview	Menggunakan Info masuk untuk autentikasi sumber di Microsoft Purview

Catatan

Anda harus menyiapkan penetapan peran RBAC Key Vault yang relevan atau kebijakan akses (warisan) untuk memungkinkan layanan yang sesuai mendapatkan akses ke Key Vault.

Langkah berikutnya

• Untuk petunjuk langkah demi langkah, lihat Konfigurasikan firewall Dan jaringan virtual Azure Key Vault
• lihat ringkasan keamanan Azure Key Vault