Настройка брандмауэров и виртуальных сетей Azure Key Vault
В этом документе подробно описаны различные конфигурации брандмауэра Azure Key Vault. Чтобы выполнить пошаговые инструкции по настройке этих параметров, см . раздел "Настройка параметров сети Azure Key Vault".
Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети для Azure Key Vault.
Настройки брандмауэра
В этом разделе рассматриваются различные способы настройки брандмауэра Azure Key Vault.
Брандмауэр Key Vault отключен (по умолчанию)
По умолчанию при создании нового хранилища ключей брандмауэр Azure Key Vault отключен. Все приложения и службы Azure имеют доступ к хранилищу ключей и отправляют запросы в хранилище ключей. Эта конфигурация не означает, что любой пользователь сможет выполнять операции в хранилище ключей. Хранилище ключей по-прежнему ограничивает доступ к секретам, ключам и сертификатам, хранящимся в хранилище ключей, требуя проверки подлинности Microsoft Entra и разрешений политики доступа. Дополнительные сведения о проверке подлинности хранилища ключей см. в статье "Проверка подлинности в Azure Key Vault". Дополнительные сведения см. в статье Доступ к Azure Key Vault из-за брандмауэра.
Брандмауэр Key Vault включен (только доверенные службы)
При включении брандмауэра Key Vault вы сможете разрешить доверенным службам Майкрософт обойти этот брандмауэр. Список доверенных служб содержит не все службы Azure. Например, Azure DevOps не содержится в списке доверенных служб. Это не означает, что службы, которые не отображаются в списке доверенных служб, не являются доверенными или небезопасны. Список доверенных служб содержит службы, в которых Майкрософт контролирует весь код, выполняемый в службе. Так как пользователи могут писать пользовательский код в таких службах Azure, как Azure DevOps, корпорация Майкрософт не предоставляет возможность создать утверждение параметров для этой службы. Более того, только то, что служба отображается в списке доверенных служб, не означает, что она разрешена для всех сценариев.
Чтобы определить, находится ли служба, используемая в списке доверенных служб, см . сведения о конечных точках службы виртуальной сети для Azure Key Vault. Инструкции по использованию портала, Azure CLI и PowerShell
Брандмауэр Key Vault включен (адреса и диапазоны IPv4 — статические IP-адреса)
Если вы хотите авторизовать определенную службу для доступа к хранилищу ключей через брандмауэр Key Vault, можно добавить его IP-адрес в список разрешений брандмауэра хранилища ключей. Эта конфигурация лучше подходит для служб, использующих статические IP-адреса или известные диапазоны. Для этого случая существует ограничение в 1000 диапазонов CIDR.
Чтобы разрешить IP-адрес или диапазон адресов для ресурса Azure, например веб-приложению или приложению логики, выполните следующие действия.
- Войдите на портал Azure.
- Выберите ресурс (конкретный экземпляр службы).
- Выберите колонку "Свойства" в разделе "Параметры".
- Найдите поле IP-адреса.
- Скопируйте это значение или диапазон и введите его в список разрешений брандмауэра хранилища ключей.
Чтобы разрешить всю службу Azure в брандмауэре Key Vault, используйте список общедоступных IP-адресов центра обработки данных для Azure здесь. Найдите IP-адреса, связанные со службой, которую вы хотите найти в нужном регионе, и добавьте эти IP-адреса в брандмауэр хранилища ключей.
Брандмауэр Key Vault включен (виртуальные сети — динамические IP-адреса)
Если вы пытаетесь разрешить ресурс Azure, например виртуальную машину, в хранилище ключей, возможно, вы не сможете использовать статические IP-адреса и не хотите разрешать всем IP-адресам виртуальных машин Azure доступ к хранилищу ключей.
В этом случае необходимо создать ресурс в виртуальной сети, а затем разрешить трафик из конкретной виртуальной сети и подсети для доступа к хранилищу ключей.
- Войдите на портал Azure.
- Выберите хранилище ключей, которое вы хотите настроить.
- Выберите колонку "Сеть".
- Выберите "+ Добавить существующую виртуальную сеть".
- Выберите виртуальную сеть и подсеть, которые вы хотите разрешить в брандмауэре Key Vault.
Брандмауэр Key Vault включен (Приватный канал)
Чтобы узнать, как настроить подключение к Приватному каналу в хранилище ключей, ознакомьтесь с документом здесь.
Внимание
Когда правила брандмауэра начнут действовать, пользователи смогут выполнять запросы на операции плоскости данных в Key Vault только из разрешенных виртуальных сетей или диапазонов IPv4-адресов. Это относится и к получению доступа к Key Vault с портала Azure. Пользователь сможет перейти в хранилище ключей с портала Azure, но не сможет получить список ключей, секретов и сертификатов, если клиентский компьютер не включен в список разрешенных. Это также влияет на средство выбора Key Vault, используемое другими службами Azure. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют их клиентскому компьютеру.
Примечание.
Следует учитывать следующие ограничения конфигурации:
- Допускается не более 200 правил виртуальной сети и 1000 правил IPv4.
- Правила IP-сети можно применять только в общедоступных IP-адресах. Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. К частным сетям относятся адреса, начинающиеся с 10., 172.16-31 и 192.168.
- Сейчас поддерживаются только IPV4-адреса.
Общедоступный доступ отключен (только частная конечная точка)
Чтобы повысить безопасность сети, вы можете настроить хранилище для отключения общедоступного доступа. Это отклонит все общедоступные конфигурации и разрешает только подключения через частные конечные точки.
Ссылки
- Справочник по шаблону ARM: Справочник по шаблону ARM Azure Key Vault
- Команда Azure CLI: az keyvault network-rule.
- Командлеты Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet.