Puntos de conexión de servicio de red virtual para Azure Key Vault

Los puntos de conexión de servicio de red virtual para Azure Key Vault permiten restringir el acceso a una red virtual especificada. También permiten restringir el acceso a una lista de intervalos de direcciones IPv4 (protocolo de Internet, versión 4). A todos los usuarios que se conecten a su almacén de claves desde fuera de esos orígenes se les negará el acceso.

Hay una excepción importante a esta restricción. Si un usuario ha decidido permitir los servicios de Microsoft de confianza, se habilitan las conexiones de esos servicios a través del firewall. Por ejemplo, estos servicios incluyen Office 365 Exchange Online, Office 365 SharePoint Online, la instancia de proceso de Azure, Azure Resource Manager y Azure Backup. Tales usuarios deben presentar un token de Azure Active Directory válido y necesitan tener permisos (configurados como directivas de acceso) para realizar la operación solicitada. Para obtener más información, consulte puntos de conexión de servicio de red virtual.

Escenarios de uso

Puede configurar los firewalls y redes virtuales de Key Vault para denegar el acceso al tráfico de todas las redes (incluido el tráfico de Internet) de forma predeterminada. Puede conceder acceso al tráfico desde redes virtuales específicas de Azure y rangos de direcciones IP públicas de Internet, lo que le permite generar un límite de red seguro para las aplicaciones.

Nota

Los firewall de Key Vault y las reglas de red virtual solo se aplican al plan de datos de Key Vault. Las operaciones del plano de control de Key Vault (como crear, eliminar, modificar operaciones, configurar directivas de acceso, configurar firewalls y reglas de red virtual, e implementar secretos o claves mediante plantillas de ARM) no se ven afectadas por los firewalls ni las reglas de red virtual.

Estos son algunos ejemplos de cómo puede usar los puntos de conexión de servicio:

  • Si utiliza Key Vault para almacenar claves de cifrado, secretos de aplicación o certificados y quiere bloquear el acceso al almacén de claves de Internet pública.
  • Si quiere bloquear el acceso al almacén de claves para que solo la aplicación o una lista breve de los hosts designados puedan conectarse al almacén de claves.
  • Tiene una aplicación que se ejecuta en su red virtual de Azure y esta red virtual está bloqueada para todo el tráfico entrante y saliente. Su aplicación aún necesita conectarse a Key Vault para capturar secretos o certificados, o usar claves criptográficas.

Servicios de confianza

Esta es una lista de servicios de confianza que tienen permiso para acceder a un almacén de claves si está habilitada la opción Permitir servicios de confianza.

Servicio de confianza Escenarios de uso admitidos
Servicio de implementación de Azure Virtual Machines Implementar certificados en máquinas virtuales desde el almacén de claves administrado por el cliente.
Servicio de implementación de plantillas de Azure Resource Manager Pasar valores seguros durante la implementación.
Servicio de cifrado de volúmenes de Azure Disk Encryption Permitir el acceso a BitLocker Key (máquina virtual Windows) o a la frase de contraseña de DM (máquina virtual Linux) y a la clave de cifrado durante la implementación de máquinas virtuales. Esto habilita Azure Disk Encryption.
Azure Backup Permitir la opción de copia de seguridad y restauración de claves y secretos pertinentes durante la copia de seguridad de máquinas virtuales de Azure mediante Azure Backup.
Exchange Online y SharePoint Online Permitir el acceso a la clave de cliente para Azure Storage Service Encryption con la clave de cliente.
Azure Information Protection Permitir el acceso a la clave de inquilino para Azure Information Protection.
Azure App Service App Service solo es de confianza para la implementación del certificado de Azure Web App mediante Key Vault. Para la aplicación, las direcciones IP de salida se pueden agregar en las reglas basadas en IP de Key Vault.
Azure SQL Database Cifrado de datos transparente con compatibilidad con Bring Your Own Key para Azure SQL Database y Azure Synapse Analytics.
Azure Database for MySQL Cifrado de datos para Azure Database for MySQL
Azure Database for PostgreSQL con la opción Servidor único Cifrado de datos para un único servidor de Azure Database for PostgreSQL
Azure Storage Storage Service Encryption mediante claves administradas por el cliente en Azure Key Vault.
Azure Data Lake Store Cifrado de datos en Azure Data Lake Store con una clave administrada de cliente.
Azure Synapse Analytics Cifrado de datos mediante claves administradas por el cliente en Azure Key Vault
Azure Databricks Servicio de análisis rápido, sencillo y de colaboración basado en Apache Spark
Azure API Management Implementación de certificados para el dominio personalizado de Key Vault mediante MSI
Azure Data Factory Captura de credenciales del almacén de datos en Key Vault desde Data Factory
Azure Event Hubs Permitir el acceso a un almacén de claves para un escenario de claves administradas por el cliente
Azure Service Bus Permitir el acceso a un almacén de claves para un escenario de claves administradas por el cliente
Azure Import/Export Uso de claves administradas por el cliente en Azure Key Vault para el servicio de importación y exportación
Azure Container Registry Cifrado del registro con claves administradas por el cliente
Azure Application Gateway Usar certificados de Key Vault para los clientes de escucha habilitados para HTTPS
Azure Front Door Uso de certificados de Key Vault para HTTPS
Microsoft Purview Uso de credenciales para la autenticación de origen en Microsoft Purview
Azure Machine Learning Protección de Azure Machine Learning en una red virtual

Nota

Debe configurar las directivas de acceso pertinentes de Key Vault para permitir que los servicios correspondientes obtengan acceso a Key Vault.

Pasos siguientes