設定 Azure Key Vault 網路設定

本文會提供指導，帶您瞭解如何設定 Azure Key Vault 網路組態，以搭配其他應用程式和 Azure 服務。 若要深入瞭解不同的網路安全性設定，請參閱這裡。

接下來會逐步說明如何使用 Azure 入口網站、Azure CLI 和 Azure PowerShell 設定 Key Vault 防火牆和虛擬網路

入口網站

1. 瀏覽至您要保護的金鑰保存庫。
2. 選取 [網絡]，然後選取 [防火牆與虛擬網路] 索引標籤。
3. 在 [允許存取來源] 之下，選取 [選取的網路]。
4. 若要將現有的虛擬網路新增至防火牆和虛擬網路規則，請選取 [+ 新增現有的虛擬網路]。
5. 在開啟的新刀鋒視窗中，選取您想要允許存取此金鑰保存庫的訂閱、虛擬網路和子網路。 如果您選取的虛擬網路和子網路並未啟用服務端點，請確認您要啟用服務端點，然後選取 [啟用]。 可能需要 15 分鐘的時間才會生效。
6. 在 [IP 網路] 下方，輸入採用 CIDR (無類別網域間路由選擇) 表示法的 IPv4 位址範圍或個別的 IP 位址，以新增 IPv4 位址範圍。
7. 如果您想要允許 Microsoft 信任的服務略過 Key Vault 防火牆，請選取 [是]。 如需目前 Key Vault 信任服務的完整清單，請參閱下列連結。 Azure Key Vault 信任的服務
8. 選取 [儲存]。

您可以也新增虛擬網路和子網路，然後選取 [+ 新增虛擬網路]，為新建立的虛擬網路和子網路啟用服務端點。 然後遵循提示。

Azure CLI

以下說明如何使用 Azure CLI 來設定 Key Vault 防火牆和虛擬網路

1. 安裝 Azure CLI 並登入。

2. 列出可用的虛擬網路規則。 如果您還沒有為此金鑰保存庫設定任何規則，清單會是空的。

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. 在現有的虛擬網路和子網路上啟用 Key Vault 的服務端點。

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. 為虛擬網路和子網路新增網路規則。

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. 新增允許流量來自的 IP 位址範圍。

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. 如果有任何信任的服務需要存取此金鑰保存庫，請將 bypass 設定為 AzureServices。

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. 將預設動作設定為 Deny 以開啟網路規則。

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組，請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az。

以下說明如何使用 PowerShell 設定 Key Vault 防火牆和虛擬網路：

1. 安裝最新的 Azure PowerShell，然後登入。

2. 列出可用的虛擬網路規則。 如果您還沒有為此金鑰保存庫設定任何規則，清單會是空的。

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. 在現有的虛擬網路和子網路上啟用 Key Vault 的服務端點。

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. 為虛擬網路和子網路新增網路規則。

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. 新增允許流量來自的 IP 位址範圍。

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. 如果有任何信任的服務需要存取此金鑰保存庫，請將 bypass 設定為 AzureServices。

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. 將預設動作設定為 Deny 以開啟網路規則。

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

參考資料

• ARM 範本參考：Azure Key Vault ARM 範本參考
• Azure CLI 命令：az keyvault network-rule
• Azure PowerShell Cmdlet：Get-AzKeyVault、Add-AzKeyVaultNetworkRule、Remove-AzKeyVaultNetworkRule、Update-AzKeyVaultNetworkRuleSet

下一步

• Key Vault 的虛擬網路服務端點
• Azure Key Vault 安全性概觀