Konfigurera nätverksinställningar för Azure Key Vault

I den här artikeln får du vägledning om hur du konfigurerar Nätverksinställningar för Azure Key Vault så att de fungerar med andra program och Azure-tjänster. Mer information om olika nätverkssäkerhetskonfigurationer finns här.

Här är stegvisa instruktioner för att konfigurera Key Vault brandvägg och virtuella nätverk med hjälp av Azure Portal, Azure CLI och Azure PowerShell

Portal

1. Bläddra till det nyckelvalv som du vill skydda.
2. Välj Nätverk och välj sedan fliken Brandväggar och virtuella nätverk .
3. Under Tillåt åtkomst från väljer du Valda nätverk.
4. Om du vill lägga till befintliga virtuella nätverk i brandväggar och regler för virtuella nätverk väljer du + Lägg till befintliga virtuella nätverk.
5. På det nya bladet som öppnas väljer du den prenumeration, de virtuella nätverk och undernät som du vill tillåta åtkomst till det här nyckelvalvet. Om de virtuella nätverk och undernät du väljer inte har tjänstslutpunkter aktiverade bekräftar du att du vill aktivera tjänstslutpunkter och väljer Aktivera. Det kan ta upp till 15 minuter att börja gälla.
6. Under IP-nätverk lägger du till IPv4-adressintervall genom att skriva IPv4-adressintervall i CIDR-notation (klasslös routning mellan domäner) eller enskilda IP-adresser.
7. Om du vill tillåta att Microsofts betrodda tjänster kringgår Key Vault-brandväggen väljer du Ja. En fullständig lista över aktuella Key Vault betrodda tjänster finns på följande länk. Azure Key Vault Trusted Services
8. Välj Spara.

Du kan också lägga till nya virtuella nätverk och undernät och sedan aktivera tjänstslutpunkter för de nyligen skapade virtuella nätverken och undernäten genom att välja + Lägg till nytt virtuellt nätverk. Följ sedan anvisningarna.

Azure CLI

Så här konfigurerar du Key Vault brandväggar och virtuella nätverk med hjälp av Azure CLI

1. Installera Azure CLI och logga in.

2. Lista tillgängliga regler för virtuellt nätverk. Om du inte har angett några regler för det här nyckelvalvet är listan tom.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Aktivera en tjänstslutpunkt för Key Vault i ett befintligt virtuellt nätverk och undernät.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Lägg till en nätverksregel för ett virtuellt nätverk och undernät.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Lägg till ett IP-adressintervall som trafik tillåts från.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Om det här nyckelvalvet ska vara tillgängligt för betrodda tjänster anger du bypass till AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Aktivera nätverksregler genom att ange standardåtgärden till Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Anteckning

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Så här konfigurerar du Key Vault brandväggar och virtuella nätverk med hjälp av PowerShell:

1. Installera den senaste Azure PowerShell och logga in.

2. Lista tillgängliga regler för virtuellt nätverk. Om du inte har angett några regler för det här nyckelvalvet är listan tom.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Aktivera tjänstslutpunkt för Key Vault i ett befintligt virtuellt nätverk och undernät.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Lägg till en nätverksregel för ett virtuellt nätverk och undernät.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Lägg till ett IP-adressintervall som trafik tillåts från.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Om det här nyckelvalvet ska vara tillgängligt för betrodda tjänster anger du bypass till AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Aktivera nätverksregler genom att ange standardåtgärden till Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Referenser

• ARM-mallreferens: Referens för Azure Key Vault ARM-mall
• Azure CLI-kommandon: az keyvault network-rule
• Azure PowerShell cmdletar: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Nästa steg

• Tjänstslutpunkter för virtuellt nätverk för Key Vault
• Översikt över Azure Key Vault-säkerhet