Konfigurace bran firewall a virtuálních sítí služby Azure Key Vault

  • Článek

Tento dokument podrobně popisuje různé konfigurace brány firewall služby Azure Key Vault. Pokud chcete postupovat podle podrobných pokynů ke konfiguraci těchto nastavení, přečtěte si téma Konfigurace nastavení sítě služby Azure Key Vault.

Další informace najdete v tématu Koncové body služby pro virtuální síť pro Azure Key Vault.

Nastavení brány firewall

Tato část se zabývá různými způsoby konfigurace brány firewall služby Azure Key Vault.

Zakázaná brána firewall služby Key Vault (výchozí)

Při vytváření nového trezoru klíčů je ve výchozím nastavení zakázaná brána firewall služby Azure Key Vault. Všechny aplikace a služby Azure mají přístup k trezoru klíčů a odesílat požadavky do trezoru klíčů. Tato konfigurace neznamená, že každý uživatel bude moct s trezorem klíčů provádět operace. Trezor klíčů stále omezuje přístup k tajným kódům, klíčům a certifikátům uloženým v trezoru klíčů tím, že vyžaduje oprávnění k ověřování a zásadám přístupu microsoft Entra. Podrobnější informace o ověřování trezoru klíčů najdete v tématu Ověřování ve službě Azure Key Vault. Další informace najdete v tématu Přístup ke službě Azure Key Vault za bránou firewall.

Povolená brána firewall služby Key Vault (pouze důvěryhodné služby)

Když povolíte bránu firewall služby Key Vault, budete mít možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall. Seznam důvěryhodných služeb nepokrývá všechny jednotlivé služby Azure. Například Azure DevOps není v seznamu důvěryhodných služeb. Neznamená to, že služby, které se nezobrazují v seznamu důvěryhodných služeb, nejsou důvěryhodné nebo nezabezpečené. Seznam důvěryhodných služeb zahrnuje služby, ve kterých Microsoft řídí veškerý kód, který běží ve službě. Vzhledem k tomu, že uživatelé můžou psát vlastní kód ve službách Azure, jako je Azure DevOps, Microsoft neposkytuje možnost vytvořit pro službu dekadní schválení. Kromě toho to, že se služba zobrazuje v seznamu důvěryhodných služeb, neznamená, že je povolená pro všechny scénáře.

Pokud chcete zjistit, jestli je služba, kterou se pokoušíte použít, na seznamu důvěryhodných služeb, podívejte se na koncové body služeb virtuální sítě pro Azure Key Vault. Návod najdete v pokynech k portálu, Rozhraní příkazového řádku Azure a PowerShellu.

Povolená brána firewall služby Key Vault (adresy a rozsahy IPv4 – Statické IP adresy)

Pokud chcete autorizovat konkrétní službu pro přístup k trezoru klíčů přes bránu firewall služby Key Vault, můžete přidat její IP adresu do seznamu povolených bran firewall trezoru klíčů. Tato konfigurace je nejvhodnější pro služby, které používají statické IP adresy nebo dobře známé rozsahy. Pro tento případ existuje limit 1 000 rozsahů CIDR.

Pokud chcete povolit IP adresu nebo rozsah prostředku Azure, například webovou aplikaci nebo aplikaci logiky, proveďte následující kroky.

  1. Přihlaste se k portálu Azure.
  2. Vyberte prostředek (konkrétní instanci služby).
  3. V části Nastavení vyberte okno Vlastnosti.
  4. Vyhledejte pole IP adresa.
  5. Zkopírujte tuto hodnotu nebo rozsah a zadejte ji do seznamu povolených bran firewall služby Key Vault.

Pokud chcete povolit celou službu Azure, použijte prostřednictvím brány firewall služby Key Vault seznam VEŘEJNĚ zdokumentovaných IP adres datacentra pro Azure. Vyhledejte IP adresy přidružené ke službě, kterou chcete mít v požadované oblasti, a přidejte tyto IP adresy do brány firewall trezoru klíčů.

Povolená brána firewall služby Key Vault (virtuální sítě – dynamické IP adresy)

Pokud se pokoušíte povolit prostředek Azure, jako je virtuální počítač prostřednictvím trezoru klíčů, možná nebudete moct používat statické IP adresy a možná nechcete povolit přístup ke svému trezoru klíčů pro všechny IP adresy virtuálních počítačů Azure.

V takovém případě byste měli vytvořit prostředek ve virtuální síti a pak povolit provoz z konkrétní virtuální sítě a podsítě pro přístup k vašemu trezoru klíčů.

  1. Přihlaste se k portálu Azure.
  2. Vyberte trezor klíčů, který chcete nakonfigurovat.
  3. Vyberte okno Sítě.
  4. Vyberte + Přidat existující virtuální síť.
  5. Vyberte virtuální síť a podsíť, které chcete povolit prostřednictvím brány firewall trezoru klíčů.

Pokud chcete zjistit, jak nakonfigurovat připojení privátního propojení ve vašem trezoru klíčů, přečtěte si tento dokument.

Důležité

Jakmile jsou pravidla brány firewall platná, můžou uživatelé provádět operace roviny dat služby Key Vault pouze v případě, že jejich požadavky pocházejí z povolených virtuálních sítí nebo rozsahů adres IPv4. To platí také pro přístup ke službě Key Vault z webu Azure Portal. I když uživatelé můžou z webu Azure Portal přejít k trezoru klíčů, nemusí být schopni vypsat klíče, tajné kódy nebo certifikáty, pokud jejich klientský počítač není v seznamu povolených. To má vliv také na výběr služby Key Vault používané jinými službami Azure. Uživatelé můžou zobrazit seznam trezorů klíčů, ale ne klíče seznamu, pokud pravidla brány firewall brání klientskému počítači.

Poznámka:

Mějte na paměti následující omezení konfigurace:

  • Je povoleno maximálně 200 pravidel virtuální sítě a 1 000 pravidel IPv4.
  • Pravidla sítě IP jsou povolená jenom pro veřejné IP adresy. Rozsahy IP adres vyhrazené pro privátní sítě (definované v rfc 1918) nejsou v pravidlech IP adres povolené. Mezi privátní sítě patří adresy začínající 10., 172.16-31 a 192.168..
  • V tuto chvíli se podporují jenom adresy IPv4.

Veřejný přístup je zakázaný (pouze privátní koncový bod)

Pokud chcete zvýšit zabezpečení sítě, můžete nakonfigurovat trezor tak, aby zakázal veřejný přístup. Tím se zamítnou všechny veřejné konfigurace a povolí se pouze připojení prostřednictvím privátních koncových bodů.

Odkazy

Další kroky