Endpoint servizio di rete virtuale per Azure Key Vault

Gli endpoint servizio di rete virtuale per Azure Key Vault consentono di limitare l'accesso a una rete virtuale specifica. Gli endpoint consentono anche di limitare l'accesso a un elenco di intervalli di indirizzi IPv4 (protocollo internet versione 4). L'accesso viene negato a tutti gli utenti che si connettono all'insieme di credenziali delle chiavi dall'esterno di tali origini.

Esiste un'importante eccezione a questa limitazione. Se un utente ha acconsentito esplicitamente a usare servizi Microsoft attendibili, le connessioni da tali servizi sono consentire attraverso il firewall. Ad esempio, questi servizi includono Office 365 Exchange Online, Office 365 SharePoint Online, Calcolo di Azure, Azure Resource Manager e Backup di Azure. Tali utenti devono comunque presentare un token Microsoft Entra valido e devono disporre delle autorizzazioni (configurate come criteri di accesso) per eseguire l'operazione richiesta. Per altre informazioni, vedere Endpoint servizio di rete virtuale.

Scenari di utilizzo

È possibile configurare reti virtuali e firewall di Key Vault per negare l'accesso al traffico da tutte le reti, incluso il traffico Internet, per impostazione predefinita. È possibile concedere l'accesso al traffico proveniente da reti virtuali specifiche di Azure e intervalli di indirizzi IP Internet pubblici, creando un limite di rete protetta per le applicazioni.

Nota

I firewall di Key Vault e le regole di rete virtuale si applicano solo al piano dati di Key Vault. Le operazioni del piano di controllo dell'insieme di credenziali delle chiavi, ad esempio le operazioni di creazione, eliminazione e modifica, l'impostazione dei criteri di accesso, l'impostazione di firewall e regole di rete virtuale e la distribuzione di segreti o chiavi tramite modelli di Resource Manager, non sono interessate da firewall e regole di rete virtuale.

Di seguito sono riportati alcuni esempi di uso degli endpoint del servizio:

  • Si usa Key Vault per archiviare chiavi di crittografia, segreti dell'applicazione, certificati e si vuole bloccare l'accesso all'insieme di credenziali delle chiavi dalla rete Internet pubblica.
  • Si vuole bloccare l'accesso all'insieme di credenziali delle chiavi in modo che solo l'applicazione o un breve elenco di host designati possano connettesi all'insieme di credenziali delle chiavi.
  • Si ha un'applicazione in esecuzione nella rete virtuale di Azure e la rete virtuale è bloccata per tutto il traffico in ingresso e in uscita. L'applicazione deve comunque connettersi a Key Vault per recuperare segreti o certificati o usare le chiavi di crittografia.

Concedere l'accesso ai servizi di Azure attendibili

È possibile concedere ai servizi di Azure attendibili l'accesso all'insieme di credenziali delle chiavi, mantenendo le regole di rete per altre app. Questi servizi attendibili useranno quindi l'autenticazione avanzata per connettersi in modo sicuro all'insieme di credenziali delle chiavi.

È possibile concedere l'accesso ai servizi di Azure attendibili configurando le impostazioni di rete. Per indicazioni dettagliate, vedere le opzioni di configurazione di rete di questo articolo.

Quando si concede l'accesso ai servizi di Azure attendibili, si concedono loro i tipi di accesso seguenti:

  • Accesso attendibile alle risorse registrate nella sottoscrizione per le operazioni selezionate.
  • Accesso attendibile alle risorse in base a un'identità gestita.
  • Accesso attendibile tra i tenant usando una credenziale di identità federata

Servizi attendibili

Di seguito è riportato un elenco di servizi attendibili che sono autorizzati ad accedere a un insieme di credenziali delle chiavi se è abilitata l'opzione Allow trusted services (Consenti servizi attendibili).

Servizio attendibile Scenari di utilizzo supportati
Gestione API di Azure Distribuire i certificati per un dominio personalizzato da Key Vault usando l'identità del servizio gestito
Servizio app di Azure servizio app è attendibile solo per Distribuzione del certificato dell'app Web di Azure tramite Key Vault, per singole app, gli indirizzi IP in uscita possono essere aggiunti nelle regole basate su IP di Key Vault
Gateway applicazione di Azure Uso dei certificati di Key Vault per listener abilitati per HTTPS
Backup di Azure Consentire il backup e ripristino di segreti e chiavi pertinenti durante il backup delle macchine virtuali di Azure usando Backup di Azure.
Azure Batch Configurare le chiavi gestite dal cliente per gli account Batch e Key Vault per gli account Batch di sottoscrizione utente
Servizio Azure Bot Crittografia servizio Bot di intelligenza artificiale di Azure per i dati inattivi
Rete CDN di Azure Configurare HTTPS in un dominio personalizzato Rete CDN di Azure: concedere Rete CDN di Azure l'accesso all'insieme di credenziali delle chiavi
Registro Azure Container Crittografia del Registro di sistema con chiavi gestite dal cliente
Azure Data Factory Recuperare le credenziali dell'archivio dati in Key Vault da Data Factory
Azure Data Lake Storage Crittografia dei dati in Azure Data Lake Store con una chiave gestita dal cliente.
Database di Azure per MySQL server singolo Crittografia dei dati per Database di Azure per MySQL server singolo
server flessibile Database di Azure per MySQL Crittografia dei dati per Database di Azure per MySQL server flessibile
Database di Azure per PostgreSQL server singolo Crittografia dei dati per Database di Azure per PostgreSQL server singolo
server flessibile Database di Azure per PostgreSQL Crittografia dei dati per Database di Azure per PostgreSQL server flessibile
Azure Databricks Servizio di analisi veloce, facile e collaborativo basato su Apache Spark
Servizio di crittografia dei volumi di Crittografia dischi di Azure Consentire l'accesso a BitLocker Key (VM Windows) o DM Passphrase (VM Linux) e la chiave di crittografia della chiave durante la distribuzione della macchina virtuale. In questo modo si abilita Crittografia dischi di Azure.
Archiviazione su disco di Azure Se configurato con un set di crittografia dischi (DES). Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione con chiavi gestite dal cliente.
Hub eventi di Azure Consentire l'accesso a un insieme di credenziali delle chiavi per lo scenario delle chiavi gestite dal cliente
Azure ExpressRoute Quando si usa MACsec con ExpressRoute Direct
Firewall di Azure Premium certificati Firewall di Azure Premium
Frontdoor di Azure classico Uso dei certificati di Key Vault per HTTPS
Frontdoor di Azure Standard/Premium Uso dei certificati di Key Vault per HTTPS
Importazione/Esportazione di Azure Usare chiavi gestite dal cliente in Azure Key Vault per Importazione/Esportazione servizio
Azure Information Protection Consentire l'accesso alla chiave del tenant per Azure Information Protection.
Azure Machine Learning Proteggere Azure Machine Learning in una rete virtuale
Criteri di Azure analisi Criteri del piano di controllo per segreti, chiavi archiviate nel piano dati
Servizio di distribuzione dei modelli di Azure Resource Manager Passare valori protetti durante la distribuzione.
Bus di servizio di Azure Consentire l'accesso a un insieme di credenziali delle chiavi per lo scenario delle chiavi gestite dal cliente
Database SQL di Azure Transparent Data Encryption con supporto Bring Your Own Key per database SQL di Azure e Azure Synapse Analytics.
Archiviazione di Azure Crittografia del servizio di archiviazione di Azure con chiavi gestite dal cliente in Azure Key Vault.
Azure Synapse Analytics Crittografia dei dati tramite chiavi gestite dal cliente in Azure Key Vault
Servizio di distribuzione di Macchine virtuali di Azure Distribuire i certificati alle macchine virtuali da Key Vault gestito dal cliente.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Consentire l'accesso alle chiavi gestite dal cliente per la crittografia dei dati inattivi con la chiave del cliente.
Microsoft Purview Uso delle credenziali per l'autenticazione di origine in Microsoft Purview

Nota

È necessario configurare le assegnazioni di ruolo del controllo degli accessi in base al ruolo o i criteri di accesso dell'insieme di credenziali delle chiavi pertinenti (legacy) per consentire ai servizi corrispondenti di ottenere l'accesso a Key Vault.

Passaggi successivi