Pontos de extremidade de serviço de rede virtual para o Azure Key Vault

  • Artigo

Os pontos de extremidade de serviço de rede virtual para o Azure Key Vault permitem restringir o acesso a uma rede virtual especificada. Os pontos de extremidade também permitem restringir o acesso a uma lista de intervalos de endereços IPv4 (protocolo de Internet versão 4). Qualquer usuário que conecte o cofre de chaves de fora dessas fontes terá acesso negado.

Há uma exceção importante para essa restrição. Se um usuário tiver optado por permitir serviços confiáveis da Microsoft, as conexões a partir desses serviços serão permitidas através do firewall. Por exemplo, esses serviços incluem o Office 365 Exchange Online, Office 365 SharePoint Online, Computação do Azure, Azure Resource Manager e o Backup do Azure. Esses usuários ainda devem apresentar um token do Microsoft Entra válido e ter permissões (configuradas como políticas de acesso) para executar a operação solicitada. Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual.

Cenários de uso

Por padrão, é possível configurar redes virtuais e firewalls do Key Vault para negar acesso ao tráfego de todas as redes (incluindo o tráfego de Internet). É possível conceder acesso ao tráfego de redes virtuais específicas do Azure e intervalos de endereços IP públicos de Internet, permitindo criar um limite de rede seguro para os aplicativos.

Observação

As regras da rede virtual e os firewalls do Key Vault aplicam-se somente ao plano de dados do Key Vault. As operações do painel de controle do Key Vault (como criar, excluir, modificar operações, configurar políticas de acesso, configurar firewalls e regras da rede virtual e implantação de segredos ou chaves pelo meio de modelos do ARM) não são afetadas por regras da rede virtual nem por firewalls.

Seguem alguns exemplos de como é possível usar pontos de extremidade de serviço:

  • Se você estiver usando o Key Vault para armazenar chaves de criptografia, segredos do aplicativo e certificados, e quer bloquear o acesso ao seu cofre de chaves da Internet pública.
  • Você quer bloquear o acesso ao seu cofre de chaves para que apenas o seu aplicativo ou uma pequena lista de hosts designados possa conectar o cofre de chaves.
  • Você tem um aplicativo executando na rede virtual do Azure e essa rede virtual é bloqueada para todo o tráfego de entrada e saída. O aplicativo ainda precisa conectar ao Key Vault para efetuar fetch de segredos ou certificados ou usar chaves de criptografia.

Conceder acesso a serviços confiáveis do Azure

Você pode conceder acesso de serviços confiáveis do Azure a cofre de chaves e manter as regras de rede para outros aplicativos. Esses serviços confiáveis usarão a autenticação forte para se conectar com segurança ao cofre de chaves.

Você pode conceder acesso aos serviços confiáveis do Azure definindo as configurações de rede. Para obter diretrizes passo a passo, consulte as opções de configuração de rede deste artigo.

Ao conceder acesso a serviços confiáveis do Azure, você concede os seguintes tipos de acesso:

  • Acesso confiável para operações select para recursos que são registrados em sua assinatura.
  • Acesso confiável a recursos com base em uma identidade gerenciada.
  • Acesso confiável entre locatários usando uma credencial de identidade federada

Serviços confiáveis

Segue uma lista de serviços confiáveis que poderão acessar um cofre de chaves se a opção Permitir serviços confiáveis estiver habilitada.

Serviço confiável Cenários de uso compatíveis
Gerenciamento de API do Azure Implantar certificados no domínio personalizado por meio do Key Vault usando a MSI
Serviço de Aplicativo do Azure O Serviço de Aplicativo é confiável apenas para Implantar o Certificado de Aplicativo Web do Azure por meio do Key Vault; para o próprio aplicativo individual, os IPs de saída podem ser adicionados nas regras baseadas em IP do Key Vault
Gateway de Aplicativo do Azure Como usar certificados do Key Vault para ouvintes habilitados para HTTPS
Serviço de Backup do Azure Permite backup e restauração de chaves e segredos relevantes durante o backup de Máquinas Virtuais do Azure, usando o Backup do Azure.
Lote do Azure Configurar chaves gerenciadas pelo cliente para contas do Lote e Cofre de chaves para contas do Lote da assinatura do usuário
Serviço de Bot do Azure Criptografia do Serviço de Bot de IA do Azure para dados inativos
CDN do Azure Configurar HTTPS em um domínio personalizado da CDN do Azure: conceder acesso à CDN do Azure ao seu cofre de chaves
Registro de Contêiner do Azure Criptografia do registro usando chaves gerenciadas pelo cliente
Fábrica de dados do Azure Buscar credenciais de armazenamento de dados no Key Vault por meio do Data Factory
Repositório Azure Data Lake Criptografia de dados no Azure Data Lake Store com uma chave gerenciada pelo cliente.
Servidor Único do Banco de Dados do Azure para MySQL Criptografia de dados do servidor individual do Banco de Dados do Azure para MySQL
Servidor flexível do Banco de Dados do Azure para MySQL Criptografia de dados para o Servidor flexível do Banco de Dados do Azure para MySQL
Servidor individual do Banco de Dados do Azure para PostgreSQL Criptografia de dados do servidor individual do Banco de Dados do Azure para PostgreSQL
Servidor Flexível do Banco de Dados do Azure para PostgreSQL Criptografia de dados do servidor Flexível do Banco de Dados do Azure para PostgreSQL
Azure Databricks Serviço de análise rápida, fácil e colaborativa, com base no Apache Spark
Serviço de criptografia de volume do Azure Disk Encryption Permite acesso à Chave do BitLocker (VM do Windows) ou à Frase Secreta de DM (VM do Linux) e à Chave de Criptografia de Chave durante a implantação da máquina virtual. Isso habilita o Azure Disk Encryption.
Armazenamento em Disco do Azure Quando configurado com um DES (Conjunto de Criptografia de Disco). Para obter mais informações, consulte a criptografia do lado do servidor do Armazenamento em Disco do Azure usando chaves gerenciadas pelo cliente.
Hubs de eventos do Azure Permitir o acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente
Azure ExpressRoute Durante o uso do MACsec com o ExpressRoute Direct
Firewall do Azure Premium Certificados do Firewall do Azure Premium
Azure Front Door Clássico Usando certificados Key Vault para HTTPS
Azure Front Door Standard/Premium Usando certificados Key Vault para HTTPS
Importação/Exportação do Azure Usar chaves gerenciadas pelo cliente no Azure Key Vault para o serviço de Importação/Exportação
Proteção de Informações do Azure Permitir acesso à chave de locatário para Proteção de Informações do Azure.
Azure Machine Learning Proteja o Azure Machine Learning em uma rede virtual
Verificação do Azure Policy Controlar políticas de plano para segredos, chaves armazenadas no plano de dados
Serviço de implantação de modelo do Azure Resource Manager Transmite valores seguros durante a implantação.
Barramento de Serviço do Azure Permitir o acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente
Banco de Dados SQL do Azure Suporte da Transparent Data Encryption com Bring Your Own Key no Banco de Dados SQL do Azure e no Azure Synapse Analytics.
Armazenamento do Azure Criptografia do Serviço de Armazenamento usando chaves gerenciadas pelo cliente no Azure Key Vault.
Azure Synapse Analytics Criptografia de dados usando chaves gerenciadas pelo cliente no Azure Key Vault
Serviço de implantação de Máquinas Virtuais do Microsoft Azure Implanta certificados para VMs a partir do Key Vault gerenciado pelo cliente.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Permitir o acesso a chaves gerenciadas pelo cliente para criptografia de dados em repouso com Chave do Cliente.
Microsoft Purview Usando credenciais para autenticação de origem no Microsoft Purview

Observação

Você deve configurar as atribuições de função RBAC do Key Vault relevantes ou as políticas de acesso (herdadas) para permitir que os serviços correspondentes obtenham acesso ao Key Vault.

Próximas etapas