Azure Key Vault ağ ayarlarını yapılandırma

Bu makale, Azure Key Vault ağ ayarlarını diğer uygulamalar ve Azure hizmetleriyle çalışacak şekilde yapılandırma konusunda size rehberlik sağlayacaktır. Farklı ağ güvenlik yapılandırmaları hakkında ayrıntılı bilgi edinmek için burayı okuyun.

Azure portal, Azure CLI ve Azure PowerShell kullanarak Key Vault güvenlik duvarını ve sanal ağları yapılandırmaya ilişkin adım adım yönergeler aşağıda verilmişdir

Portal

1. Güvenliğini sağlamak istediğiniz anahtar kasasına göz atın.
2. Ağ'ı ve ardından Güvenlik duvarları ve sanal ağlar sekmesini seçin.
3. Erişime izin ver'in altındaSeçili ağlar'ı seçin.
4. Mevcut sanal ağları güvenlik duvarlarına ve sanal ağ kurallarına eklemek için + Var olan sanal ağları ekle'yi seçin.
5. Açılan yeni dikey pencerede, bu anahtar kasasına erişim izni vermek istediğiniz aboneliği, sanal ağları ve alt ağları seçin. Seçtiğiniz sanal ağlarda ve alt ağlarda hizmet uç noktaları etkin değilse, hizmet uç noktalarını etkinleştirmek istediğinizi onaylayın ve Etkinleştir'i seçin. Geçerlilik kazanması 15 dakika kadar sürebilir.
6. IP Ağları'nın altında, CIDR (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimine veya tek tek IP adreslerine IPv4 adres aralıkları yazarak IPv4 adres aralıkları ekleyin.
7. Microsoft Güvenilen Hizmetler'in Key Vault Güvenlik Duvarı'nı atlamasına izin vermek istiyorsanız 'Evet' seçeneğini belirleyin. Geçerli Key Vault Güvenilen Hizmetler'in tam listesi için lütfen aşağıdaki bağlantıya bakın. Azure Key Vault Güvenilen Hizmetler
8. Kaydet’i seçin.

Ayrıca+ Yeni sanal ağ ekle'yi seçerek yeni sanal ağlar ve alt ağlar ekleyebilir ve ardından yeni oluşturulan sanal ağlar ve alt ağlar için hizmet uç noktalarını etkinleştirebilirsiniz. Ardından istemleri izleyin.

Azure CLI

Azure CLI kullanarak Key Vault güvenlik duvarlarını ve sanal ağları yapılandırma burada anlatılır

1. Azure CLI'yi yükleyin ve oturum açın.

2. Kullanılabilir sanal ağ kurallarını listeleyin. Bu anahtar kasası için herhangi bir kural ayarlamadıysanız, liste boş olur.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Mevcut bir sanal ağda ve alt ağda Key Vault için hizmet uç noktasını etkinleştirin.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Sanal ağ ve alt ağ için bir ağ kuralı ekleyin.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Trafiğe izin vermek için bir IP adresi aralığı ekleyin.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Bu anahtar kasasına güvenilen hizmetler tarafından erişilebilir olması gerekiyorsa olarak ayarlayın bypassAzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Varsayılan eylemi Denyolarak ayarlayarak ağ kurallarını açın.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Not

Azure ile etkileşime geçmek için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

PowerShell kullanarak Key Vault güvenlik duvarlarını ve sanal ağları şu şekilde yapılandırabilirsiniz:

1. En son Azure PowerShell yükleyin ve oturum açın.

2. Kullanılabilir sanal ağ kurallarını listeleyin. Bu anahtar kasası için herhangi bir kural ayarlamadıysanız, liste boş olur.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Mevcut bir sanal ağda ve alt ağda Key Vault için hizmet uç noktasını etkinleştirin.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Sanal ağ ve alt ağ için bir ağ kuralı ekleyin.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Trafiğe izin vermek için bir IP adresi aralığı ekleyin.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Bu anahtar kasasına güvenilen hizmetler tarafından erişilebilir olması gerekiyorsa olarak ayarlayın bypassAzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Varsayılan eylemi Denyolarak ayarlayarak ağ kurallarını açın.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Başvurular

• ARM Şablonu Başvurusu: Azure Key Vault ARM Şablonu Başvurusu
• Azure CLI komutları: az keyvault network-rule
• Azure PowerShell cmdlet'leri: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Sonraki adımlar

• Key Vault için sanal ağ hizmet uç noktaları
• Azure Key Vault güvenliğine genel bakış