Konfigurace nastavení sítě Azure Key Vault

V tomto článku najdete pokyny ke konfiguraci nastavení sítě Azure Key Vault pro práci s jinými aplikacemi a službami Azure. Podrobné informace o různých konfiguracích zabezpečení sítě najdete tady.

Tady jsou podrobné pokyny ke konfiguraci brány firewall a virtuálních sítí Key Vault pomocí Azure Portal, Azure CLI a Azure PowerShell

Azure Portal

1. Přejděte do trezoru klíčů, který chcete zabezpečit.
2. Vyberte Sítě a pak vyberte kartu Brány firewall a virtuální sítě .
3. V části Povolit přístup z vyberte Vybrané sítě.
4. Pokud chcete přidat existující virtuální sítě do bran firewall a pravidel virtuální sítě, vyberte + Přidat existující virtuální sítě.
5. V novém okně, které se otevře, vyberte předplatné, virtuální sítě a podsítě, kterým chcete povolit přístup k tomuto trezoru klíčů. Pokud virtuální sítě a podsítě, které vyberete, nemají povolené koncové body služby, ověřte, že chcete povolit koncové body služby, a vyberte Povolit. Může trvat až 15 minut, než se to projeví.
6. V části Sítě IP přidejte rozsahy IPv4 adres zadáním rozsahů adres IPv4 do notace CIDR (Classless Inter-domain Routing) nebo jednotlivých IP adres.
7. Pokud chcete povolit, aby důvěryhodné služby společnosti Microsoft obešly bránu firewall Key Vault, vyberte Ano. Úplný seznam aktuálních Key Vault důvěryhodných služeb najdete na následujícím odkazu. Důvěryhodné služby Azure Key Vault
8. Vyberte Uložit.

Můžete také přidat nové virtuální sítě a podsítě a potom povolit koncové body služeb pro nově vytvořené virtuální sítě a podsítě výběrem + Přidat novou virtuální síť. Pak postupujte podle pokynů.

Azure CLI

Tady je postup konfigurace Key Vault bran firewall a virtuálních sítí pomocí Azure CLI.

1. Nainstalujte Azure CLI a přihlaste se.

2. Zobrazí seznam dostupných pravidel virtuální sítě. Pokud jste pro tento trezor klíčů nenastavili žádná pravidla, bude seznam prázdný.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Povolte koncový bod služby pro Key Vault ve stávající virtuální síti a podsíti.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Přidejte pravidlo sítě pro virtuální síť a podsíť.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Přidejte rozsah IP adres, ze kterého chcete povolit provoz.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Pokud má být tento trezor klíčů přístupný pro důvěryhodné služby, nastavte bypass na AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Zapněte pravidla sítě nastavením výchozí akce na Denyhodnotu .

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Poznámka

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Tady je postup konfigurace Key Vault bran firewall a virtuálních sítí pomocí PowerShellu:

1. Nainstalujte nejnovější Azure PowerShell a přihlaste se.

2. Zobrazí seznam dostupných pravidel virtuální sítě. Pokud jste pro tento trezor klíčů nenastavili žádná pravidla, bude seznam prázdný.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Povolte koncový bod služby pro Key Vault ve stávající virtuální síti a podsíti.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Přidejte pravidlo sítě pro virtuální síť a podsíť.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Přidejte rozsah IP adres, ze kterého chcete povolit provoz.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Pokud má být tento trezor klíčů přístupný pro důvěryhodné služby, nastavte bypass na AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Zapněte pravidla sítě nastavením výchozí akce na Denyhodnotu .

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Reference

• Referenční informace k šabloně ARM: Referenční informace k šabloně ARM pro Azure Key Vault
• Příkazy Azure CLI: az keyvault network-rule
• Azure PowerShell rutiny: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Další kroky

• Koncové body služby virtuální sítě pro Key Vault
• Přehled zabezpečení azure Key Vault