Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault

  • Artikel

Med tjänstslutpunkterna för virtuella nätverk för Azure Key Vault kan du begränsa åtkomsten till ett angivet virtuellt nätverk. Med slutpunkterna kan du också begränsa åtkomsten till en lista över adressintervall för IPv4 (Internet Protocol version 4). Alla användare som ansluter till ditt nyckelvalv utanför dessa källor nekas åtkomst.

Det finns ett viktigt undantag till den här begränsningen. Om en användare har valt att tillåta betrodda Microsoft-tjänster släpps anslutningar från dessa tjänster igenom brandväggen. Dessa tjänster omfattar till exempel Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager och Azure Backup. Sådana användare måste fortfarande presentera en giltig Microsoft Entra-token och måste ha behörigheter (konfigurerade som åtkomstprinciper) för att utföra den begärda åtgärden. Mer information finns i Tjänstslutpunkter för virtuellt nätverk.

Användningsscenarier

Du kan konfigurera Key Vault-brandväggar och virtuella nätverk för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) som standard. Du kan ge åtkomst till trafik från specifika virtuella Azure-nätverk och offentliga IP-adressintervall för Internet, så att du kan skapa en säker nätverksgräns för dina program.

Kommentar

Key Vault-brandväggar och regler för virtuella nätverk gäller endast för dataplanet i Key Vault. Key Vault-kontrollplansåtgärder (som att skapa, ta bort och ändra åtgärder, ange åtkomstprinciper, ange brandväggar och regler för virtuella nätverk och distribuera hemligheter eller nycklar via ARM-mallar) påverkas inte av brandväggar och regler för virtuella nätverk.

Här följer några exempel på hur du kan använda tjänstslutpunkter:

  • Du använder Key Vault för att lagra krypteringsnycklar, programhemligheter och certifikat, och du vill blockera åtkomsten till ditt nyckelvalv från det offentliga Internet.
  • Du vill låsa åtkomsten till ditt nyckelvalv så att endast ditt program, eller en kort lista över avsedda värdar, kan ansluta till ditt nyckelvalv.
  • Du har ett program som körs i ditt virtuella Azure-nätverk och det här virtuella nätverket är låst för all inkommande och utgående trafik. Programmet måste fortfarande ansluta till Key Vault för att hämta hemligheter eller certifikat eller använda kryptografiska nycklar.

Bevilja åtkomst till betrodda Azure-tjänster

Du kan ge åtkomst till betrodda Azure-tjänster till nyckelvalvet, samtidigt som du behåller nätverksregler för andra appar. Dessa betrodda tjänster använder sedan stark autentisering för att på ett säkert sätt ansluta till ditt nyckelvalv.

Du kan ge åtkomst till betrodda Azure-tjänster genom att konfigurera nätverksinställningar. Stegvis vägledning finns i konfigurationsalternativen för nätverk i den här artikeln.

När du beviljar åtkomst till betrodda Azure-tjänster beviljar du följande typer av åtkomst:

  • Betrodd åtkomst för utvalda åtgärder till resurser som är registrerade i din prenumeration.
  • Betrodd åtkomst till resurser baserat på en hanterad identitet.
  • Betrodd åtkomst mellan klienter med hjälp av federerade identitetsautentiseringsuppgifter

Betrodda tjänster

Här är en lista över betrodda tjänster som tillåts komma åt ett nyckelvalv om alternativet Tillåt betrodda tjänster är aktiverat.

Betrodd tjänst Användningsscenarier som stöds
Azure API Management Distribuera certifikat för anpassad domän från Key Vault med MSI
Azure App Service App Service är endast betrodd för distribution av Azure Web App Certificate via Key Vault. För enskilda appar kan utgående IP-adresser läggas till i Key Vaults IP-baserade regler
Azure Application Gateway Använda Key Vault-certifikat för HTTPS-aktiverade lyssnare
Azure Backup Tillåt säkerhetskopiering och återställning av relevanta nycklar och hemligheter under säkerhetskopiering av virtuella Azure-datorer med hjälp av Azure Backup.
Azure Batch Konfigurera kundhanterade nycklar för Batch-konton och Key Vault för Batch-konton för användarprenumeration
Azure Bot Service Azure AI Bot Service-kryptering för vilande data
Azure CDN Konfigurera HTTPS på en anpassad Azure CDN-domän: Bevilja Azure CDN åtkomst till ditt nyckelvalv
Azure Container Registry Registerkryptering med kundhanterade nycklar
Azure Data Factory Hämta autentiseringsuppgifter för datalager i Key Vault från Data Factory
Azure Data Lake Store Kryptering av data i Azure Data Lake Store med en kundhanterad nyckel.
Azure Database for MySQL – enskild server Datakryptering för Azure Database for MySQL – enskild server
Flexibel Azure Database for MySQL-server Datakryptering för Azure Database for MySQL – flexibel server
Azure Database for PostgreSQL – enskild server Datakryptering för Azure Database for PostgreSQL – enskild server
Flexibel Azure Database for PostgreSQL-server Datakryptering för Azure Database for PostgreSQL – flexibel server
Azure Databricks Snabb, enkel och samarbetsbaserad Apache Spark-baserad analystjänst
Volymkrypteringstjänst för Azure Disk Encryption Tillåt åtkomst till BitLocker-nyckel (virtuell Windows-dator) eller DM-lösenfras (virtuell Linux-dator) och nyckelkrypteringsnyckel under distribution av virtuella datorer. Detta aktiverar Azure Disk Encryption.
Azure-disklagring När den konfigureras med en diskkrypteringsuppsättning (DES). Mer information finns i Kryptering på serversidan av Azure Disk Storage med kundhanterade nycklar.
Azure Event Hubs Tillåta åtkomst till ett nyckelvalv för scenario med kundhanterade nycklar
Azure ExpressRoute När du använder MACsec med ExpressRoute Direct
Azure Firewall Premium Azure Firewall Premium-certifikat
Klassisk Azure Front Door Använda Key Vault-certifikat för HTTPS
Azure Front Door Standard/Premium Använda Key Vault-certifikat för HTTPS
Azure Import/Export Använda kundhanterade nycklar i Azure Key Vault för import-/exporttjänsten
Azure Information Protection Tillåt åtkomst till klientnyckeln för Azure Information Protection.
Azure Machine Learning Skydda Azure Machine Learning i ett virtuellt nätverk
Azure Policy Scan Kontrollplansprinciper för hemligheter, nycklar som lagras i dataplanet
Distributionstjänst för Azure Resource Manager-mallar Skicka säkra värden under distributionen.
Azure Service Bus Tillåta åtkomst till ett nyckelvalv för scenario med kundhanterade nycklar
Azure SQL Database transparent datakryptering med stöd för Bring Your Own Key för Azure SQL Database och Azure Synapse Analytics.
Azure Storage Kryptering av lagringstjänst med kundhanterade nycklar i Azure Key Vault.
Azure Synapse Analytics Kryptering av data med kundhanterade nycklar i Azure Key Vault
Distributionstjänst för virtuella Azure-datorer Distribuera certifikat till virtuella datorer från kundhanterat Key Vault.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Tillåt åtkomst till kundhanterade nycklar för data-i-vila-kryptering med kundnyckel.
Microsoft Purview Använda autentiseringsuppgifter för källautentisering i Microsoft Purview

Kommentar

Du måste konfigurera relevanta RBAC-rolltilldelningar för Key Vault eller åtkomstprinciper (äldre) för att ge motsvarande tjänster åtkomst till Key Vault.

Nästa steg