Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault

  • Artykuł

W tym dokumencie szczegółowo omówiono różne konfiguracje zapory usługi Azure Key Vault. Aby wykonać instrukcje krok po kroku dotyczące konfigurowania tych ustawień, zobacz Konfigurowanie ustawień sieci usługi Azure Key Vault.

Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault.

Ustawienia zapory

W tej sekcji omówiono różne sposoby konfigurowania zapory usługi Azure Key Vault.

Zapora usługi Key Vault jest wyłączona (ustawienie domyślne)

Domyślnie podczas tworzenia nowego magazynu kluczy zapora usługi Azure Key Vault jest wyłączona. Wszystkie aplikacje i usługi platformy Azure mogą uzyskiwać dostęp do magazynu kluczy i wysyłać żądania do magazynu kluczy. Ta konfiguracja nie oznacza, że żaden użytkownik będzie mógł wykonywać operacje w magazynie kluczy. Magazyn kluczy nadal ogranicza dostęp do wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy, wymagając uprawnień uwierzytelniania i zasad dostępu firmy Microsoft. Aby lepiej zrozumieć uwierzytelnianie magazynu kluczy, zobacz Uwierzytelnianie w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu do usługi Azure Key Vault za zaporą.

Zapora usługi Key Vault jest włączona (tylko zaufane usługi)

Po włączeniu zapory usługi Key Vault zostanie wyświetlona opcja "Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory". Lista zaufanych usług nie obejmuje każdej pojedynczej usługi platformy Azure. Na przykład usługa Azure DevOps nie znajduje się na liście zaufanych usług. Nie oznacza to, że usługi, które nie są wyświetlane na liście zaufanych usług, nie są zaufane lub są niezabezpieczone. Lista zaufanych usług obejmuje usługi, w których firma Microsoft kontroluje cały kod uruchamiany w usłudze. Ponieważ użytkownicy mogą pisać kod niestandardowy w usługach platformy Azure, takich jak Azure DevOps, firma Microsoft nie udostępnia opcji tworzenia ogólnego zatwierdzenia dla usługi. Ponadto tylko dlatego, że usługa jest wyświetlana na liście zaufanych usług, nie oznacza, że jest dozwolona dla wszystkich scenariuszy.

Aby określić, czy usługa, której próbujesz użyć, znajduje się na liście zaufanych usług, zobacz Punkty końcowe usługi dla sieci wirtualnej dla usługi Azure Key Vault. Aby uzyskać instrukcje, postępuj zgodnie z instrukcjami w witrynie Portal, interfejsie wiersza polecenia platformy Azure i programie PowerShell

Włączono zaporę usługi Key Vault (adresy IPv4 i zakresy — statyczne adresy IP)

Jeśli chcesz autoryzować określoną usługę do uzyskiwania dostępu do magazynu kluczy za pośrednictwem zapory usługi Key Vault, możesz dodać jej adres IP do listy dozwolonych zapory magazynu kluczy. Ta konfiguracja jest najlepsza w przypadku usług korzystających ze statycznych adresów IP lub dobrze znanych zakresów. W tym przypadku istnieje limit 1000 zakresów CIDR.

Aby zezwolić na użycie adresu IP lub zakresu zasobu platformy Azure, takiego jak aplikacja internetowa lub aplikacja logiki, wykonaj następujące kroki.

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz zasób (określone wystąpienie usługi).
  3. Wybierz blok Właściwości w obszarze Ustawienia.
  4. Wyszukaj pole Adres IP.
  5. Skopiuj tę wartość lub zakres i wprowadź ją na liście dozwolonych zapory magazynu kluczy.

Aby zezwolić na całą usługę platformy Azure za pośrednictwem zapory usługi Key Vault, użyj listy publicznie udokumentowanych adresów IP centrum danych dla platformy Azure tutaj. Znajdź adresy IP skojarzone z usługą, którą chcesz znaleźć w żądanym regionie, i dodaj te adresy IP do zapory magazynu kluczy.

Zapora usługi Key Vault jest włączona (sieci wirtualne — dynamiczne adresy IP)

Jeśli próbujesz zezwolić na zasób platformy Azure, taki jak maszyna wirtualna za pośrednictwem magazynu kluczy, możesz nie być w stanie użyć statycznych adresów IP i nie chcesz zezwalać na dostęp do magazynu kluczy wszystkim adresom IP dla usługi Azure Virtual Machines.

W takim przypadku należy utworzyć zasób w sieci wirtualnej, a następnie zezwolić na ruch z określonej sieci wirtualnej i podsieci w celu uzyskania dostępu do magazynu kluczy.

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz magazyn kluczy, który chcesz skonfigurować.
  3. Wybierz blok "Sieć".
  4. Wybierz pozycję "+ Dodaj istniejącą sieć wirtualną".
  5. Wybierz sieć wirtualną i podsieć, którą chcesz zezwolić za pośrednictwem zapory magazynu kluczy.

Aby dowiedzieć się, jak skonfigurować połączenie łącza prywatnego w magazynie kluczy, zapoznaj się z dokumentem tutaj.

Ważne

Po wprowadzeniu reguł zapory użytkownicy mogą wykonywać operacje płaszczyzny danych usługi Key Vault tylko wtedy, gdy ich żądania pochodzą z dozwolonych sieci wirtualnych lub zakresów adresów IPv4. Dotyczy to również uzyskiwania dostępu do usługi Key Vault z witryny Azure Portal. Mimo że użytkownicy mogą przejść do magazynu kluczy z witryny Azure Portal, mogą nie być w stanie wyświetlić listy kluczy, wpisów tajnych lub certyfikatów, jeśli ich maszyna kliencka nie znajduje się na liście dozwolonych. Ma to również wpływ na selektor usługi Key Vault używany przez inne usługi platformy Azure. Użytkownicy mogą wyświetlać listę magazynów kluczy, ale nie wyświetlać listy kluczy, jeśli reguły zapory uniemożliwiają maszynę kliencką.

Uwaga

Należy pamiętać o następujących ograniczeniach konfiguracji:

  • Dozwolone są maksymalnie 200 reguł sieci wirtualnej i 1000 reguł IPv4.
  • Reguły sieci IP są dozwolone tylko dla publicznych adresów IP. Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10., 172.16-31 i 192.168..
  • Obecnie obsługiwane są tylko adresy IPv4.

Dostęp publiczny jest wyłączony (tylko prywatny punkt końcowy)

Aby zwiększyć bezpieczeństwo sieci, możesz skonfigurować magazyn tak, aby wyłączył dostęp publiczny. Spowoduje to zablokowanie wszystkich konfiguracji publicznych i zezwolenie tylko na połączenia za pośrednictwem prywatnych punktów końcowych.

Odwołania

Następne kroki