Azure Key Vault-netwerkinstellingen configureren

Dit artikel bevat richtlijnen voor het configureren van de Azure Key Vault-netwerkinstellingen voor gebruik met andere toepassingen en Azure-services. Lees hier voor meer informatie over verschillende netwerkbeveiligingsconfiguraties.

Hier volgen stapsgewijze instructies voor het configureren van Key Vault firewall en virtuele netwerken met behulp van de Azure Portal, Azure CLI en Azure PowerShell

Portal

1. Blader naar de sleutelkluis die u wilt beveiligen.
2. Selecteer Netwerken en het tabblad Firewalls en virtuele netwerken.
3. Selecteer Geselecteerde netwerken onder Toegang toestaan uit.
4. Als u bestaande virtuele netwerken wilt toevoegen aan firewalls en regels voor virtuele netwerken, selecteert u + Bestaande virtuele netwerken toevoegen.
5. Selecteer op de nieuwe blade die wordt geopend het abonnement, de virtuele netwerken en de subnetten die u toegang wilt geven tot deze sleutelkluis. Als voor de virtuele netwerken en subnetten die u selecteert geen service-eindpunten zijn ingeschakeld, bevestigt u dat u service-eindpunten wilt inschakelen en selecteert u Inschakelen. Het kan tot vijftien minuten duren voordat deze instelling van kracht is.
6. Voeg onder IP-netwerken IPv4-adresbereiken toe door IPv4-adresbereiken in CIDR-notatie (Classless Inter-Domain Routing) of afzonderlijke IP-adressen in te voeren.
7. Als u wilt toestaan dat vertrouwde services van Microsoft de Key Vault-firewall overslaan, selecteert u Ja. Klik op de volgende koppeling voor een volledige lijst van de huidige vertrouwde Key Vault-services. Vertrouwde services van Azure Key Vault
8. Selecteer Opslaan.

U kunt ook nieuwe virtuele netwerken en subnetten toevoegen en vervolgens service-eindpunten inschakelen voor de zojuist gemaakte virtuele netwerken en subnetten door + Nieuw virtuele netwerk toevoegen te selecteren. Volg daarna de aanwijzingen.

Azure-CLI

U kunt als volgt Key Vault-firewalls en virtuele netwerken configureren met behulp van Azure CLI

1. Installeer Azure CLI en meld u aan.

2. Bekijk de beschikbare regels voor virtuele netwerken. Als u geen regels voor deze sleutelkluis hebt ingesteld, is de lijst leeg.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Schakel een service-eindpunt in voor Key Vault op een bestaand virtueel netwerk en subnet.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Voeg een netwerkregel toe voor een virtueel netwerk en subnet.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Voeg een IP-adresbereik toe waaruit verkeer kan worden toegestaan.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Als deze sleutelkluis toegankelijk moet zijn voor vertrouwde services, stelt u bypass in op AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Schakel de netwerkregels in door de standaardactie in te stellen op Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Notitie

U wordt aangeraden de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

U kunt als volgt Key Vault-firewalls en virtuele netwerken configureren met behulp van PowerShell:

1. Installeer de nieuwste versie van Azure PowerShell en meld u aan.

2. Bekijk de beschikbare regels voor virtuele netwerken. Als u geen regels voor deze sleutelkluis hebt ingesteld, is de lijst leeg.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Schakel een service-eindpunt in voor Key Vault op een bestaand virtueel netwerk en subnet.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Voeg een netwerkregel toe voor een virtueel netwerk en subnet.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Voeg een IP-adresbereik toe waaruit verkeer kan worden toegestaan.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Als deze sleutelkluis toegankelijk moet zijn voor vertrouwde services, stelt u bypass in op AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Schakel de netwerkregels in door de standaardactie in te stellen op Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Verwijzingen

• ARM-sjabloonreferentie: ARM-sjabloonreferentie voor Azure Key Vault
• Azure CLI-opdrachten: az keyvault network-rule
• Azure PowerShell-cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Volgende stappen

• Service-eindpunten voor virtuele netwerken voor Key Vault
• Overzicht van Azure Key Vault-beveiliging