Konfigurowanie ustawień sieci usługi Azure Key Vault

Ten artykuł zawiera wskazówki dotyczące konfigurowania ustawień sieciowych usługi Azure Key Vault do pracy z innymi aplikacjami i usługami platformy Azure. Aby dowiedzieć się więcej o różnych konfiguracjach zabezpieczeń sieci, przeczytaj tutaj.

Oto szczegółowe instrukcje dotyczące konfigurowania zapory Key Vault i sieci wirtualnych przy użyciu Azure Portal, interfejsu wiersza polecenia platformy Azure i Azure PowerShell

Portal

1. Przejdź do magazynu kluczy, który chcesz zabezpieczyć.
2. Wybierz pozycję Sieć, a następnie wybierz kartę Zapory i sieci wirtualne .
3. W obszarze Zezwalaj na dostęp wybierz pozycję Wybrane sieci.
4. Aby dodać istniejące sieci wirtualne do zapór i reguł sieci wirtualnej, wybierz pozycję + Dodaj istniejące sieci wirtualne.
5. W nowym bloku, który zostanie otwarty, wybierz subskrypcję, sieci wirtualne i podsieci, które chcesz zezwolić na dostęp do tego magazynu kluczy. Jeśli wybrane sieci wirtualne i podsieci nie mają włączonych punktów końcowych usługi, upewnij się, że chcesz włączyć punkty końcowe usługi, a następnie wybierz pozycję Włącz. Zastosowanie może potrwać do 15 minut.
6. W obszarze Sieci IP dodaj zakresy adresów IPv4, wpisując zakresy adresów IPv4 w notacji CIDR (routing między domenami bez klas) lub poszczególnych adresów IP.
7. Jeśli chcesz zezwolić usługom zaufanym firmy Microsoft na obejście zapory Key Vault, wybierz pozycję "Tak". Aby uzyskać pełną listę bieżących Key Vault zaufanych usług, zobacz następujący link. Zaufane usługi platformy Azure Key Vault
8. Wybierz pozycję Zapisz.

Możesz również dodać nowe sieci wirtualne i podsieci, a następnie włączyć punkty końcowe usługi dla nowo utworzonych sieci wirtualnych i podsieci, wybierając pozycję + Dodaj nową sieć wirtualną. Następnie postępuj zgodnie z monitami.

Interfejs wiersza polecenia platformy Azure

Poniżej przedstawiono sposób konfigurowania Key Vault zapór i sieci wirtualnych przy użyciu interfejsu wiersza polecenia platformy Azure

1. Zainstaluj interfejs wiersza polecenia platformy Azure i zaloguj się.

2. Wyświetl listę dostępnych reguł sieci wirtualnej. Jeśli nie ustawiono żadnych reguł dla tego magazynu kluczy, lista będzie pusta.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Włącz punkt końcowy usługi dla Key Vault w istniejącej sieci wirtualnej i podsieci.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Dodaj regułę sieci dla sieci wirtualnej i podsieci.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Dodaj zakres adresów IP, z którego ma zezwalać na ruch.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Jeśli ten magazyn kluczy powinien być dostępny dla wszystkich zaufanych usług, ustaw wartość bypassAzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Włącz reguły sieciowe, ustawiając domyślną akcję na Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

Program PowerShell

Uwaga

Zalecamy korzystanie z modułu Azure Az programu PowerShell do interakcji z platformą Azure. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Poniżej przedstawiono sposób konfigurowania zapór i sieci wirtualnych Key Vault przy użyciu programu PowerShell:

1. Zainstaluj najnowszą Azure PowerShell i zaloguj się.

2. Wyświetl listę dostępnych reguł sieci wirtualnej. Jeśli nie ustawiono żadnych reguł dla tego magazynu kluczy, lista będzie pusta.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Włącz punkt końcowy usługi dla Key Vault w istniejącej sieci wirtualnej i podsieci.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Dodaj regułę sieci dla sieci wirtualnej i podsieci.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Dodaj zakres adresów IP, z którego ma zezwalać na ruch.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Jeśli ten magazyn kluczy powinien być dostępny dla wszystkich zaufanych usług, ustaw wartość bypassAzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Włącz reguły sieciowe, ustawiając domyślną akcję na Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Odwołania

• Dokumentacja szablonu usługi ARM: Dokumentacja szablonu usługi Azure Key Vault ARM
• Polecenia interfejsu wiersza polecenia platformy Azure: az keyvault network-rule
• polecenia cmdlet Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Następne kroki

• Punkty końcowe usługi sieci wirtualnej dla Key Vault
• Omówienie zabezpieczeń usługi Azure Key Vault