Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault

Tjänstslutpunkterna för virtuella nätverk för Azure 密钥保管库 gör att du kan begränsa åtkomsten till ett angivet virtuellt nätverk. Med slutpunkterna kan du också begränsa åtkomsten till en lista över adressintervall för IPv4 (Internet Protocol version 4). Alla användare som ansluter till ditt nyckelvalv utanför dessa källor nekas åtkomst.

Det finns ett viktigt undantag för den här begränsningen. Om en användare har valt att tillåta betrodda Microsoft-tjänster kommer anslutningar från dessa tjänster att skickas via brandväggen. Dessa tjänster omfattar till exempel Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager och Azure Backup. Sådana användare måste fortfarande presentera en giltig Azure Active Directory-token och måste ha behörigheter (konfigurerade som åtkomstprinciper) för att utföra den begärda åtgärden. Mer information finns i Tjänstslutpunkter för virtuellt nätverk.

Användningsscenarier

Du kan konfigurera 密钥保管库 brandväggar och virtuella nätverk för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) som standard. Du kan bevilja åtkomst till trafik från specifika virtuella Azure-nätverk och offentliga IP-adressintervall för Internet, så att du kan skapa en säker nätverksgräns för dina program.

Anteckning

密钥保管库 brandväggar och regler för virtuella nätverk gäller endast för dataplanet i 密钥保管库. 密钥保管库 kontrollplansåtgärder (som att skapa, ta bort och ändra åtgärder, ange åtkomstprinciper, ange brandväggar och regler för virtuellt nätverk och distribuera hemligheter eller nycklar via ARM-mallar) påverkas inte av brandväggar och regler för virtuella nätverk.

Här är några exempel på hur du kan använda tjänstslutpunkter:

  • Du använder 密钥保管库 för att lagra krypteringsnycklar, programhemligheter och certifikat, och du vill blockera åtkomsten till ditt nyckelvalv från det offentliga Internet.
  • Du vill låsa åtkomsten till ditt nyckelvalv så att endast ditt program, eller en kort lista över avsedda värdar, kan ansluta till ditt nyckelvalv.
  • Du har ett program som körs i ditt virtuella Azure-nätverk och det här virtuella nätverket är låst för all inkommande och utgående trafik. Ditt program måste fortfarande ansluta till 密钥保管库 för att hämta hemligheter eller certifikat, eller använda kryptografiska nycklar.

Betrodda tjänster

Här är en lista över betrodda tjänster som får åtkomst till ett nyckelvalv om alternativet Tillåt betrodda tjänster är aktiverat.

Betrodd tjänst Användningsscenarier som stöds
Azure API Management Distribuera certifikat för Custom Domain från 密钥保管库 med MSI
Azure App Service Serviço de Aplicativo är endast betrott för att distribuera Azure Web App Certificate via 密钥保管库 kan de utgående IP-adresserna för enskilda appar läggas till i 密钥保管库 IP-baserade regler
Azure Application Gateway Använda 密钥保管库 certifikat för HTTPS-aktiverade lyssnare
Azure Backup Tillåt säkerhetskopiering och återställning av relevanta nycklar och hemligheter under Azure 虛擬機器 säkerhetskopiering med hjälp av Azure Backup.
Azure CDN Konfigurera HTTPS på en anpassad Azure CDN-domän: Bevilja Azure CDN åtkomst till ditt nyckelvalv
Azure Container Registry Registerkryptering med kundhanterade nycklar
Azure Data Factory Hämta autentiseringsuppgifter för datalager i 密钥保管库 från Data Factory
Azure Data Lake Store Kryptering av data i Azure Data Lake Store med en kundhanterad nyckel.
Azure Database for MySQL Datakryptering för Azure Database for MySQL
Azure Database for PostgreSQL enskild server Datakryptering för Azure Database for PostgreSQL enskild server
Azure Databricks Snabb, enkel och samarbetsbaserad Apache Spark-baserad analystjänst
Volymkrypteringstjänst för Azure Disk Encryption Tillåt åtkomst till BitLocker-nyckel (virtuell Windows-dator) eller DM-lösenfras (virtuell Linux-dator) och nyckelkrypteringsnyckel under distribution av virtuella datorer. Detta aktiverar Azure Disk Encryption.
Azure-disklagring När den konfigureras med en diskkrypteringsuppsättning (DES). Mer information finns i Kryptering på serversidan av Azure Disk Storage med kundhanterade nycklar.
Azure Event Hubs Tillåta åtkomst till ett nyckelvalv för scenario med kundhanterade nycklar
Azure Firewall Premium Azure Firewall Premium-certifikat
Klassisk Azure Front Door Använda 密钥保管库 certifikat för HTTPS
Azure Front Door Standard/Premium Använda 密钥保管库 certifikat för HTTPS
Azure Import/Export Använda kundhanterade nycklar i Azure 密钥保管库 för import-/exporttjänsten
Azure Information Protection Tillåt åtkomst till klientnyckel för Azure Information Protection.
Azure Machine Learning Skydda Azure Machine Learning i ett virtuellt nätverk
Distributionstjänst för Azure Resource Manager-mall Skicka säkra värden under distributionen.
Azure Service Bus Tillåta åtkomst till ett nyckelvalv för scenario med kundhanterade nycklar
Azure SQL Database Transparent datakryptering med stöd för Bring Your Own Key för SQL do Azure Database och Azure Synapse Analytics.
Azure Storage Kryptering av lagringstjänst med kundhanterade nycklar i Azure 密钥保管库.
Azure Synapse Analytics Kryptering av data med kundhanterade nycklar i Azure 密钥保管库
Distributionstjänst för Azure 虛擬機器 Distribuera certifikat till virtuella datorer från kundhanterade 密钥保管库.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Tillåt åtkomst till kundhanterade nycklar för data-i-vila-kryptering med kundnyckel.
Microsoft Purview Använda autentiseringsuppgifter för källautentisering i Microsoft Purview

Anteckning

Du måste konfigurera relevanta 密钥保管库 åtkomstprinciper för att tillåta att motsvarande tjänster får åtkomst till 密钥保管库.

Nästa steg