Configurare le impostazioni di rete di Azure Key Vault

Questo articolo fornisce indicazioni su come configurare le impostazioni di rete di Azure Key Vault per l'uso con altre applicazioni e servizi di Azure. Per informazioni dettagliate sulle diverse configurazioni di sicurezza di rete, vedere questo articolo.

Ecco le istruzioni dettagliate per configurare il firewall e le reti virtuali di Key Vault usando il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell

Portale

1. Passare all'insieme di credenziali delle chiavi che si vuole proteggere.
2. Selezionare Rete e quindi selezionare la scheda Firewall e reti virtuali.
3. Selezionare Reti selezionate in Consenti l'accesso da.
4. Per aggiungere reti virtuali esistenti ai firewall e alle regole di rete virtuale, selezionare + Aggiungi reti virtuali esistenti.
5. Nel nuovo pannello che si apre selezionare la sottoscrizione, le reti virtuali e le subnet a cui consentire l'accesso all'insieme di credenziali delle chiavi. Se per le reti virtuali e le subnet selezionate non sono abilitati endpoint di servizio, confermare di voler abilitare gli endpoint di servizio e selezionare Abilita. La modifica può richiedere fino a 15 minuti per diventare operativa.
6. In Reti IP aggiungere intervalli di indirizzi IPv4 digitando gli intervalli di indirizzi IPv4 in notazione CIDR (Classless Inter-domain Routing) o i singoli indirizzi IP.
7. Se si vuole consentire ai servizi Microsoft attendibili di ignorare il firewall di Key Vault, selezionare 'Sì'. Per un elenco completo dei servizi attendibili di Key Vault correnti, vedere il collegamento seguente. Servizi attendibili di Azure Key Vault
8. Seleziona Salva.

È anche possibile aggiungere nuove reti virtuali e subnet e poi abilitare gli endpoint di servizio per le reti virtuali e le subnet appena create selezionando + Aggiungi nuova rete virtuale. Seguire quindi le istruzioni.

Interfaccia della riga di comando di Azure

Di seguito viene illustrato come configurare firewall e reti virtuali di Key Vault usando l'interfaccia della riga di comando di Azure

1. Installare l'interfaccia della riga di comando di Azure e accedere.

2. Indicare le regole di rete virtuale disponibili. Se non è stata impostata alcuna regola per questo insieme di credenziali delle chiavi, l'elenco sarà vuoto.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Abilitare un endpoint di servizio per Key Vault in una rete virtuale e una subnet esistenti.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Aggiungere una regola di rete per una rete virtuale e una subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Aggiungere un intervallo di indirizzi IP da cui consentire il traffico.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Se questo insieme di credenziali delle chiavi deve essere accessibile da tutti i servizi attendibili, impostare bypass su AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Attivare le regole della rete impostando l'azione predefinita su Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Di seguito viene illustrato come configurare firewall e reti virtuali di Key Vault usando PowerShell:

1. Installare la versione più aggiornata di Azure PowerShell ed effettuare l'accesso.

2. Indicare le regole di rete virtuale disponibili. Se non è stata impostata alcuna regola per questo insieme di credenziali delle chiavi, l'elenco sarà vuoto.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Abilitare l'endpoint di servizio per Key Vault in una rete virtuale e una subnet esistenti.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Aggiungere una regola di rete per una rete virtuale e una subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Aggiungere un intervallo di indirizzi IP da cui consentire il traffico.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Se questo insieme di credenziali delle chiavi deve essere accessibile da tutti i servizi attendibili, impostare bypass su AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Attivare le regole della rete impostando l'azione predefinita su Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Riferimenti

• Informazioni di riferimento sui modelli di ARM: Informazioni di riferimento sui modelli di Azure Resource Manager per Azure Key Vault
• Comandi dell'interfaccia della riga di comando di Azure: az keyvault network-rule
• Cm di Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Passaggi successivi

• Endpoint servizio di rete virtuale per Key Vault
• Panoramica della sicurezza di Azure Key Vault