Netwerkinstellingen voor Azure Key Vault configureren

In dit artikel vindt u richtlijnen voor het configureren van de Azure Key Vault-netwerkinstellingen voor gebruik met andere toepassingen en Azure-services. Lees hier voor meer informatie over verschillende netwerkbeveiligingsconfiguraties.

Hier volgen stapsgewijze instructies voor het configureren van Key Vault-firewall en virtuele netwerken met behulp van Azure Portal, Azure CLI en Azure PowerShell

Portal

1. Blader naar de sleutelkluis die u wilt beveiligen.
2. Selecteer Netwerken en het tabblad Firewalls en virtuele netwerken.
3. Selecteer Geselecteerde netwerken onder Toegang toestaan uit.
4. Als u bestaande virtuele netwerken wilt toevoegen aan firewalls en regels voor virtuele netwerken, selecteert u + Bestaande virtuele netwerken toevoegen.
5. Selecteer op de nieuwe blade die wordt geopend het abonnement, de virtuele netwerken en de subnetten die u toegang wilt geven tot deze sleutelkluis. Als voor de virtuele netwerken en subnetten die u selecteert geen service-eindpunten zijn ingeschakeld, bevestigt u dat u service-eindpunten wilt inschakelen en selecteert u Inschakelen. Het kan tot vijftien minuten duren voordat deze instelling van kracht is.
6. Voeg onder IP-netwerken IPv4-adresbereiken toe door IPv4-adresbereiken in CIDR-notatie (Classless Inter-Domain Routing) of afzonderlijke IP-adressen in te voeren.
7. Als u wilt toestaan dat vertrouwde services van Microsoft de Key Vault-firewall overslaan, selecteert u Ja. Klik op de volgende koppeling voor een volledige lijst van de huidige vertrouwde Key Vault-services. Vertrouwde services van Azure Key Vault
8. Selecteer Opslaan.

U kunt ook nieuwe virtuele netwerken en subnetten toevoegen en vervolgens service-eindpunten inschakelen voor de zojuist gemaakte virtuele netwerken en subnetten door + Nieuw virtuele netwerk toevoegen te selecteren. Volg daarna de aanwijzingen.

Azure-CLI

U kunt als volgt Key Vault-firewalls en virtuele netwerken configureren met behulp van Azure CLI

1. Installeer Azure CLI en meld u aan.

2. Bekijk de beschikbare regels voor virtuele netwerken. Als u geen regels voor deze sleutelkluis hebt ingesteld, is de lijst leeg.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Schakel een service-eindpunt in voor Key Vault op een bestaand virtueel netwerk en subnet.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Voeg een netwerkregel toe voor een virtueel netwerk en subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Voeg een IP-adresbereik toe waaruit verkeer kan worden toegestaan.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Als deze sleutelkluis toegankelijk moet zijn voor vertrouwde services, stelt u bypass in op AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Schakel de netwerkregels in door de standaardactie in te stellen op Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

Powershell

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

U kunt als volgt Key Vault-firewalls en virtuele netwerken configureren met behulp van PowerShell:

1. Installeer de nieuwste versie van Azure PowerShell en meld u aan.

2. Bekijk de beschikbare regels voor virtuele netwerken. Als u geen regels voor deze sleutelkluis hebt ingesteld, is de lijst leeg.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Schakel een service-eindpunt in voor Key Vault op een bestaand virtueel netwerk en subnet.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Voeg een netwerkregel toe voor een virtueel netwerk en subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Voeg een IP-adresbereik toe waaruit verkeer kan worden toegestaan.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Als deze sleutelkluis toegankelijk moet zijn voor vertrouwde services, stelt u bypass in op AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Schakel de netwerkregels in door de standaardactie in te stellen op Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Verwijzingen

• Arm-sjabloonverwijzing: Naslaginformatie over ARM-sjablonen in Azure Key Vault
• Azure CLI-opdrachten: az keyvault network-rule
• Azure PowerShell-cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Volgende stappen

• Service-eindpunten voor virtuele netwerken voor Key Vault
• Overzicht van Azure Key Vault-beveiliging