Integrare Key Vault con collegamento privato di Azure

2025-04-21

Il servizio collegamento privato di Azure consente di accedere ai servizi di Azure (ad esempio, Azure Key Vault, Archiviazione di Azure e Azure Cosmos DB) e ai servizi clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.

Un endpoint privato di Azure è un'interfaccia di rete che consente di connettersi privatamente e in modo sicuro a un servizio basato sul collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato dalla rete virtuale, portando effettivamente il servizio nella rete virtuale. Tutto il traffico verso il servizio può essere instradato tramite l'endpoint privato, quindi non sono necessari gateway, dispositivi NAT, ExpressRoute o connessioni VPN oppure indirizzi IP pubblici. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft, impedendone l'esposizione alla rete Internet pubblica. È possibile connettersi a un'istanza di una risorsa di Azure, offrendo il massimo livello di granularità nel controllo di accesso.

Per altre informazioni, vedere Che cos'è Collegamento privato di Azure?.

Prerequisiti

Per integrare un insieme di credenziali delle chiavi con il collegamento privato di Azure, sarà necessario:

Un insieme di credenziali delle chiavi.
Una rete virtuale di Azure.
Una subnet nella rete virtuale.
Autorizzazioni di proprietario o collaboratore per l'insieme di credenziali delle chiavi e la rete virtuale.

L'endpoint privato e la rete virtuale devono trovarsi nella stessa area. Quando si seleziona un'area per l'endpoint privato tramite il portale, verranno automaticamente filtrate solo le reti virtuali presenti in tale area. L'insieme di credenziali delle chiavi può trovarsi in un'area diversa.

L'endpoint privato usa un indirizzo IP privato nella rete virtuale.

Portale di Azure
Interfaccia della riga di comando di Azure

Stabilire una connessione di collegamento privato a Key Vault usando il portale di Azure

Creare prima di tutto una rete virtuale seguendo la procedura descritta in Creare una rete virtuale usando il portale di Azure

È quindi possibile creare un nuovo Key Vault o stabilire un collegamento privato a un Key Vault esistente.

Creare un nuovo insieme di credenziali delle chiavi e stabilire una connessione di collegamento privato

È possibile creare un nuovo Key Vault di Azure con il portale di Azure, Azure CLI o Azure PowerShell.

Dopo aver configurato le informazioni di base dell'insieme di credenziali delle chiavi, selezionare la scheda Rete e seguire questa procedura:

Disabilitare l'accesso pubblico disattivando il pulsante di opzione.
Selezionare il pulsante "+ Crea un endpoint privato" per aggiungere un endpoint privato.
Nel campo "Posizione" del pannello Crea endpoint privato selezionare l'area in cui si trova la rete virtuale.
Nel campo "Nome" creare un nome descrittivo che consentirà di identificare questo endpoint privato.
Selezionare la rete virtuale e la subnet in cui si vuole creare questo endpoint privato dal menu a discesa.
Lasciare invariata l'opzione "integrazione con IL DNS della zona privata".
Selezionare "Ok".

A questo punto sarà possibile visualizzare l'endpoint privato configurato. È ora possibile eliminare e modificare questo endpoint privato. Selezionare il pulsante "Rivedi e crea" e creare l'insieme di credenziali delle chiavi. Il completamento della distribuzione richiederà 5-10 minuti.

Stabilire una connessione di collegamento privato a un insieme di credenziali delle chiavi esistente

Se si dispone già di un vault delle chiavi, è possibile creare una connessione privata seguendo questi passaggi:

Accedere al portale di Azure.
Nella barra di ricerca digitare "Key Vaults".
Selezionare nell'elenco l'insieme di credenziali delle chiavi in cui si vuole aggiungere un endpoint privato.
Selezionare la scheda "Rete" in Impostazioni.
Selezionare la scheda "Connessioni endpoint privato" nella parte superiore della pagina.
Selezionare il pulsante "+ Crea" nella parte superiore della pagina.
In "Dettagli progetto" selezionare il gruppo di risorse che contiene la rete virtuale creata come prerequisito per questa esercitazione. In "Dettagli istanza" immettere "myPrivateEndpoint" come Nome e selezionare la stessa posizione della rete virtuale creata come prerequisito per questa esercitazione.

È possibile scegliere di creare un endpoint privato per qualsiasi risorsa di Azure in usando questo pannello. È possibile usare i menu a discesa per selezionare un tipo di risorsa e selezionare una risorsa nella directory oppure connettersi a qualsiasi risorsa di Azure usando un ID risorsa. Lasciare invariata l'opzione "integrazione con IL DNS della zona privata".
Passare al pannello "Risorse". Per "Tipo di risorsa", seleziona "Microsoft.KeyVault/vaults"; per "Risorsa", seleziona il Key Vault che hai creato come prerequisito per questa esercitazione. L'opzione "Sottorisorsa di destinazione" verrà popolata automaticamente con "insieme di credenziali".
Passare alla "Rete virtuale". Selezionare la rete virtuale e la subnet create come prerequisito per questa esercitazione.
Passare attraverso i pannelli "DNS" e "Tag", accettando le impostazioni predefinite.
Nel pannello "Rivedi e crea" selezionare "Crea".

Quando si crea un endpoint privato, la connessione deve essere approvata. Se la risorsa per cui si sta creando un endpoint privato si trova nella directory, sarà possibile approvare la richiesta di connessione purché si disponga di autorizzazioni sufficienti; se ci si connette a una risorsa di Azure in un'altra directory, è necessario attendere che il proprietario di tale risorsa approvi la richiesta di connessione.

Sono disponibili quattro stati di provisioning:

Azione del servizio	Stato dell'endpoint privato del consumer del servizio	Descrizione
Nessuno	In sospeso	La connessione viene creata manualmente ed è in attesa di approvazione dal proprietario della risorsa di collegamento privato.
Approvazione	Approvato	La connessione è stata approvata automaticamente o manualmente ed è pronta per essere usata.
Rifiutare	Rifiutato	La connessione è stata rifiutata dal proprietario della risorsa di collegamento privato.
Rimuovi	Disconnesso	La connessione è stata rimossa dal proprietario della risorsa di collegamento privato; l'endpoint privato assume una funzione informativa e deve essere eliminato per la pulizia.

Come gestire una connessione endpoint privato a Key Vault usando il portale di Azure

Accedere al portale di Azure.
Nella barra di ricerca digitare "key vaults"
Selezionare l'archivio di chiavi che si desidera gestire.
Selezionare la scheda "Rete".
Se sono presenti connessioni in sospeso, verrà visualizzata una connessione elencata con "In sospeso" nello stato di provisioning.
Selezionare l'endpoint privato da approvare
Selezionare il pulsante Approva.
Se sono presenti connessioni endpoint private che si desidera rifiutare, se si tratta di una richiesta in sospeso o di una connessione esistente, selezionare la connessione e selezionare il pulsante "Rifiuta".

Stabilire una connessione di collegamento privato a Key Vault usando l'interfaccia della riga di comando (installazione iniziale)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION}           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

Creare un endpoint privato (approvazione automatica)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

Creare un endpoint privato (richiesta manuale di approvazione)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

Gestire le connessioni di collegamento privato

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

Aggiungere record DNS privato

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

Verificare il funzionamento della connessione di collegamento privato

È necessario verificare che le risorse all'interno della stessa subnet della risorsa endpoint privato si connettano all'insieme di credenziali delle chiavi tramite un indirizzo IP privato e che dispongano dell'integrazione con la zona DNS privato corretta.

Creare prima di tutto una macchina virtuale seguendo la procedura descritta nell'articolo Creare una macchina virtuale di Windows nel portale di Azure.

Nella scheda "Rete":

Specificare Rete virtuale e Subnet. È possibile creare una nuova rete virtuale o selezionare una rete esistente. Se si seleziona una esistente, assicurarsi che l'area corrisponda.
Specificare una risorsa IP pubblico.
Nel gruppo di sicurezza di rete NIC, selezionare "Nessuno".
In "Bilanciamento del carico" selezionare "No".

Aprire la riga di comando ed eseguire il comando seguente:

nslookup <your-key-vault-name>.vault.azure.net

Se si esegue il comando nslookup per risolvere l'indirizzo IP di un Key Vault su un endpoint pubblico, si otterrà un risultato simile a questo:

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

Se si esegue il comando nslookup per risolvere l'indirizzo IP di una chiave di crittografia su un endpoint privato, verrà visualizzato un risultato simile al seguente:

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

Guida alla risoluzione dei problemi

Verificare che l'endpoint privato sia nello stato approvato.
1. È possibile controllare lo stato ed eventualmente correggerlo nel portale di Azure. Aprire la risorsa Key Vault e selezionare l'opzione Rete.
2. Selezionare quindi la scheda Connessioni endpoint privato.
3. Verificare che lo stato della connessione sia Approvato e che lo stato del provisioning sia Riuscito.
4. È anche possibile verificare le stesse proprietà nella risorsa dell'endpoint privato e controllare che la rete virtuale corrisponda a quella in uso.
Verificare di disporre di una risorsa zona DNS privata.
1. È necessario disporre di una risorsa zona DNS privata con il nome esatto: privatelink.vaultcore.azure.net.
2. Per informazioni su come configurare questa impostazione, vedere il collegamento seguente. Zone DNS privato
Verificare che la zona DNS privata sia collegata alla rete virtuale. Se continua a essere restituito l'indirizzo IP pubblico, la causa potrebbe essere questa.
1. Se il DNS della zona privata non è collegato alla rete virtuale, la query DNS originata dalla rete virtuale restituirà l'indirizzo IP pubblico dell'insieme di credenziali delle chiavi.
2. Passare alla risorsa Zona DNS privato nel portale di Azure e selezionare l'opzione collegamenti di rete virtuale.
3. La rete virtuale che effettuerà le chiamate all'insieme di credenziali delle chiavi deve essere elencata.
4. Se non lo è, aggiungerla.
5. Per i passaggi dettagliati, vedere il documento seguente Collegare la rete virtuale alla zona DNS privata
Verificare che nella zona DNS privato non manchi un record A per l'insieme di credenziali delle chiavi.
1. Passare alla pagina Zona DNS privata.
2. Selezionare la scheda Panoramica e verificare se è presente un record A con il nome semplice del key vault, ad esempio fabrikam. Non specificare alcun suffisso.
3. Controllare l'ortografia e creare o correggere il record A. È possibile usare un TTL di 600 (10 minuti).
4. Assicurarsi di specificare l'indirizzo IP privato corretto.
Verificare che il record A abbia l'indirizzo IP corretto.
1. È possibile confermare l'indirizzo IP aprendo la risorsa Endpoint privato nel portale di Azure.
2. Nel portale di Azure passare alla risorsa Microsoft.Network/privateEndpoints (non alla risorsa Key Vault).
3. Nella pagina di panoramica cercare Interfaccia di rete e selezionare tale collegamento.
4. Il collegamento mostrerà la Panoramica della risorsa NIC, che contiene la proprietà Indirizzo IP privato.
5. Verificare che sia l'indirizzo IP corretto specificato nel record A.
Se ci si connette da una risorsa locale a un insieme di credenziali delle chiavi, assicurarsi che tutti i server d'inoltro condizionali necessari siano abilitati nell'ambiente locale.
1. Esaminare la configurazione DNS dell'endpoint privato di Azure per le zone necessarie e assicurarsi di disporre di server d'inoltro condizionali sia per vault.azure.net che per vaultcore.azure.net nel DNS locale in sede.
2. Assicurarsi di avere server d'inoltro condizionali per le zone che instradano a un resolver DNS privato di Azure o ad altre piattaforme DNS con accesso alla risoluzione di Azure.

Limitazioni e considerazioni di progettazione

Limiti: vedere Limiti dei collegamenti privati di Azure

Prezzi: vedere Prezzi di Collegamento privato di Azure.

Limitazioni: vedere Servizio collegamento privato di Azure: Limitazioni

Passaggi successivi

Altre informazioni su Collegamento privato di Azure
Altre informazioni su Azure Key Vault