Azure Key Vault için sanal ağ hizmet uç noktaları
Azure Key Vault için sanal ağ hizmet uç noktaları, belirtilen bir sanal ağa erişimi kısıtlamanıza olanak tanır. Uç noktalar ayrıca IPv4 (internet protokolü sürüm 4) adres aralıkları listesine erişimi kısıtlamanıza da olanak tanır. Anahtar kasanıza bu kaynakların dışından bağlanan tüm kullanıcıların erişimi reddedilir.
Bu kısıtlamanın önemli bir istisnası vardır. Bir kullanıcı güvenilen Microsoft hizmetleri izin verdiyse, bu hizmetlerden gelen bağlantılara güvenlik duvarı üzerinden izin verir. Örneğin, bu hizmetler Office 365 Exchange Online, Office 365 SharePoint Online, Azure işlem, Azure Resource Manager ve Azure Backup'ı içerir. Bu tür kullanıcıların yine de geçerli bir Microsoft Entra belirteci sunmaları ve istenen işlemi gerçekleştirmek için izinlere (erişim ilkeleri olarak yapılandırılmış) sahip olmaları gerekir. Daha fazla bilgi için bkz . Sanal ağ hizmet uç noktaları.
Kullanım senaryoları
Key Vault güvenlik duvarlarını ve sanal ağları varsayılan olarak tüm ağlardan gelen trafiğe erişimi reddedecek şekilde yapılandırabilirsiniz (İnternet trafiği dahil). Belirli Azure sanal ağlarından ve genel İnternet IP adresi aralıklarından gelen trafiğe erişim ve böylece uygulamalarınız için güvenli bir ağ sınırı oluşturabilirsiniz.
Not
Key Vault güvenlik duvarları ve sanal ağ kuralları yalnızca Key Vault'un veri düzlemi için geçerlidir. Key Vault denetim düzlemi işlemleri (oluşturma, silme ve değiştirme, erişim ilkelerini ayarlama, güvenlik duvarlarını ayarlama ve sanal ağ kuralları ile gizli dizilerin veya anahtarların ARM şablonları aracılığıyla dağıtılması gibi) güvenlik duvarlarından ve sanal ağ kurallarından etkilenmez.
Hizmet uç noktalarını nasıl kullanabileceğinize dair bazı örnekler aşağıda verilmiştir:
- Şifreleme anahtarlarını, uygulama gizli dizilerini ve sertifikaları depolamak için Key Vault kullanıyorsunuz ve anahtar kasanıza genel İnternet'ten erişimi engellemek istiyorsunuz.
- Anahtar kasanıza erişimi kilitlemek istiyorsunuz, böylece yalnızca uygulamanızın veya belirlenen konakların kısa bir listesinin anahtar kasanıza bağlanabilmesini sağlayabilirsiniz.
- Azure sanal ağınızda çalışan bir uygulamanız var ve bu sanal ağ tüm gelen ve giden trafik için kilitlendi. Uygulamanızın gizli dizileri veya sertifikaları getirmek veya şifreleme anahtarlarını kullanmak için Key Vault'a bağlanması gerekir.
Güvenilen Azure hizmetlerine erişim izni verme
Anahtar kasasına güvenilir Azure hizmetlerine erişim izni verirken, diğer uygulamalar için ağ kurallarını koruyabilirsiniz. Bu güvenilir hizmetler daha sonra anahtar kasanıza güvenli bir şekilde bağlanmak için güçlü kimlik doğrulaması kullanır.
Ağ ayarlarını yapılandırarak güvenilen Azure hizmetlerine erişim vekleyebilirsiniz. Adım adım yönergeler için bu makalenin ağ yapılandırma seçeneklerine bakın.
Güvenilen Azure hizmetlerine erişim izni verdiğinizde, aşağıdaki erişim türlerini verirsiniz:
- Aboneliğinizde kayıtlı kaynaklara belirli işlemler için güvenilir erişim.
- Yönetilen kimliğe göre kaynaklara güvenilir erişim.
- Federasyon Kimliği Kimlik Bilgilerini kullanarak kiracılar arasında güvenilir erişim
Güvenilen hizmetler
Güvenilir hizmetlere izin ver seçeneği etkinse , anahtar kasasına erişmesine izin verilen güvenilen hizmetlerin listesi aşağıdadır.
| Güvenilen hizmet | Desteklenen kullanım senaryoları |
|---|---|
| Azure API Management | MSI kullanarak Key Vault'tan Özel Etki Alanı için sertifika dağıtma |
| Azure App Service | App Service yalnızca Azure Web App Sertifikası'nı Key Vault aracılığıyla dağıtmak için güvenilirdir; tek tek uygulamanın kendisi için giden IP'ler Key Vault'un IP tabanlı kurallarına eklenebilir |
| Azure Application Gateway | HTTPS özellikli dinleyiciler için Key Vault sertifikalarını kullanma |
| Azure Backup | Azure Backup'ı kullanarak Azure Sanal Makineler yedekleme sırasında ilgili anahtarların ve gizli dizilerin yedeklenip geri yüklenmesine izin verin. |
| Azure Batch | Batch hesapları ve Kullanıcı Aboneliği Batch hesaplarıiçin Key Vault için müşteri tarafından yönetilen anahtarları yapılandırma |
| Azure Bot Hizmeti | Bekleyen veriler için Azure AI Bot Hizmeti şifrelemesi |
| Azure CDN | Azure CDN özel etki alanında HTTPS yapılandırma: Anahtar kasanıza Azure CDN erişimi verme |
| Azure Container Registry | Müşteri tarafından yönetilen anahtarları kullanarak kayıt defteri şifrelemesi |
| Azure Data Factory | Data Factory'den Key Vault'ta veri deposu kimlik bilgilerini getirme |
| Azure Data Lake Store | Azure Data Lake Store'da verilerin müşteri tarafından yönetilen bir anahtarla şifrelenmesini sağlar. |
| MySQL için Azure Veritabanı Tek sunucu | MySQL için Azure Veritabanı Tek sunucu için veri şifreleme |
| esnek sunucu MySQL için Azure Veritabanı | MySQL için Azure Veritabanı Esnek sunucu için veri şifreleme |
| PostgreSQL için Azure Veritabanı Tek sunucu | PostgreSQL için Azure Veritabanı Tek sunucu için veri şifreleme |
| esnek sunucu PostgreSQL için Azure Veritabanı | PostgreSQL için Azure Veritabanı Esnek sunucu için veri şifreleme |
| Azure Databricks | Hızlı, kolay ve işbirliğine dayalı Apache Spark tabanlı analiz hizmeti |
| birim şifreleme hizmetini Azure Disk Şifrelemesi | Sanal makine dağıtımı sırasında BitLocker Anahtarı (Windows VM) veya DM Parola (Linux VM) ve Anahtar Şifreleme Anahtarı'na erişime izin verin. Bu, Azure Disk Şifrelemesi etkinleştirir. |
| Azure Disk Depolama | Disk Şifreleme Kümesi (DES) ile yapılandırıldığında. Daha fazla bilgi için bkz. Müşteri tarafından yönetilen anahtarları kullanarak Azure Disk Depolama sunucu tarafı şifrelemesi. |
| Azure Event Hubs | Müşteri tarafından yönetilen anahtarlar senaryosu için anahtar kasasına erişime izin verme |
| Azure ExpressRoute | ExpressRoute Direct ile MACsec kullanırken |
| Azure Güvenlik Duvarı Premium | Premium sertifikaları Azure Güvenlik Duvarı |
| Azure Front Door Classic | HTTPS için Key Vault sertifikalarını kullanma |
| Azure Front Door Standart/Premium | HTTPS için Key Vault sertifikalarını kullanma |
| Azure İçeri/Dışarı Aktarma | İçeri/Dışarı Aktarma hizmeti için Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanma |
| Azure Information Protection | Azure Information Protection için kiracı anahtarına erişime izin verin. |
| Azure Machine Learning | Sanal ağda Azure Machine Learning'in güvenliğini sağlama |
| taramayı Azure İlkesi | Gizli diziler, veri düzleminde depolanan anahtarlar için denetim düzlemi ilkeleri |
| Azure Resource Manager şablon dağıtım hizmeti | Dağıtım sırasında güvenli değerler geçirin. |
| Azure Service Bus | Müşteri tarafından yönetilen anahtarlar senaryosu için anahtar kasasına erişime izin verme |
| Azure SQL Veritabanı | Azure SQL Veritabanı ve Azure Synapse Analytics için Kendi Anahtarını Getir desteğiyle Saydam Veri Şifrelemesi. |
| Azure Depolama | Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak Hizmet Şifrelemesi'ne Depolama. |
| Azure Synapse Analytics | Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak verilerin şifrelenmesini sağlama |
| Azure Sanal Makineler dağıtım hizmeti | Müşteri tarafından yönetilen Key Vault'tan VM'lere sertifika dağıtın. |
| Exchange Online, SharePoint Online, M365DataAtRestEncryption | Müşteri Anahtarı ile Bekleyen Veri Şifrelemesi için müşteri tarafından yönetilen anahtarlara erişime izin verin. |
| Microsoft Purview | Microsoft Purview'da kaynak kimlik doğrulaması için kimlik bilgilerini kullanma |
Not
İlgili hizmetlerin Key Vault'a erişmesine izin vermek için ilgili Key Vault RBAC rol atamalarını veya erişim ilkelerini (eski) ayarlamanız gerekir.
Sonraki adımlar
- Adım adım yönergeler için bkz . Azure Key Vault güvenlik duvarlarını ve sanal ağları yapılandırma
- Bkz. Azure Key Vault güvenliğine genel bakış