Definir as configurações de rede do Azure Key Vault

Neste artigo, você verá como definir as configurações de rede do Azure Key Vault para funcionar com outros aplicativos e serviços do Azure. Para saber mais sobre as diferentes configurações de segurança de rede em detalhes, leia aqui.

Aqui estão as instruções passo a passo para configurar o firewall e as redes virtuais do Key Vault usando o portal do Azure, a CLI do Azure e o Azure PowerShell

Portal

1. Navegue até o cofre de chaves que você quer proteger.
2. Selecione Rede e, em seguida, a guia Firewalls e redes virtuais.
3. Em Permitir acesso de, clique em Redes selecionadas.
4. Para adicionar redes virtuais existentes a firewalls e regras da rede virtual, selecione + Adicionar redes virtuais existentes.
5. Na nova folha que é aberta, selecione a assinatura, as redes virtuais e as sub-redes que você quer permitir acesso a esse cofre de chaves. Se as redes virtuais e sub-redes que você selecionar não tiverem pontos de extremidade de serviço habilitados, confirme que você quer habilitar pontos de extremidade de serviço e, em seguida, selecione Habilitar. Pode demorar até 15 minutos para entrar em vigor.
6. Em Redes IP, adicione intervalos de endereços IPv4, digitando intervalos de endereços IPv4 na notação CIDR (Roteamento Entre Domínios Sem Classe) ou endereços IP individuais.
7. Caso deseje permitir que os Serviços Confiáveis da Microsoft ignorem o Firewall do Key Vault, selecione 'Sim'. Para obter uma lista completa dos Serviços Confiáveis do Key Vault atuais, confira o link a seguir. Serviços Confiáveis do Azure Key Vault
8. Clique em Salvar.

Também é possível adicionar novas redes virtuais e sub-redes e, em seguida, habilitar pontos de extremidade de serviço para as redes virtuais e sub-redes recém-criadas, selecionando + Adicionar nova rede virtual. Em seguida, siga os prompts.

CLI do Azure

Segue como configurar redes virtuais e firewalls do Key Vault usando a CLI do Azure

1. Instale a CLI do Azure e conecte-se.

2. Liste as regras da rede virtual disponíveis. Se você ainda não definiu regras para esse cofre de chaves, a lista estará vazia.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Habilite um ponto de extremidade de serviço para Key Vault em uma rede virtual e sub-rede existentes.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Adicionar uma regra de rede para uma rede virtual e sub-rede.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Adicione um intervalo de endereços IP que permite tráfego.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Se o cofre de chaves precisar ser acessível por qualquer serviço confiável, defina bypass para AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Ative as regras de rede definindo a ação padrão como Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Segue como configurar redes virtuais e firewalls do Key Vault usando o PowerShell:

1. Instale o Azure PowerShell mais recente e conecte.

2. Liste as regras da rede virtual disponíveis. Se você ainda não definiu regras para esse cofre de chaves, a lista estará vazia.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Habilitar ponto de extremidade de serviço para Key Vault em uma rede virtual e sub-rede existentes.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Adicionar uma regra de rede para uma rede virtual e sub-rede.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Adicione um intervalo de endereços IP que permite tráfego.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Se o cofre de chaves precisar ser acessível por qualquer serviço confiável, defina bypass para AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Ative as regras de rede definindo a ação padrão como Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Referências

• Referência de modelo ARM: Referência de modelo ARM do Azure Key Vault
• Comandos da CLI do Azure: az keyvault network-rule
• Cmdlets do Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Próximas etapas

• Pontos de extremidade de serviço de rede virtual para Key Vault
• Visão geral da segurança do Azure Key Vault