Service-eindpunten voor virtuele netwerken voor Azure Key Vault

Met de service-eindpunten voor virtuele Azure Key Vault kunt u de toegang tot een opgegeven virtueel netwerk beperken. Met de eindpunten kunt u ook de toegang tot een lijst met IPv4-adresbereiken (internetprotocol versie 4) beperken. Elke gebruiker die verbinding maakt met uw sleutelkluis van buiten deze bronnen, wordt de toegang geweigerd.

Er is één belangrijke uitzondering op deze beperking. Als een gebruiker zich heeft ervoor gekozen om vertrouwde Microsoft-services, worden verbindingen van deze services via de firewall toegestaan. Deze services omvatten bijvoorbeeld Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager en Azure Backup. Dergelijke gebruikers moeten nog steeds een geldig Azure Active Directory-token presenteren en moeten machtigingen hebben (geconfigureerd als toegangsbeleid) om de aangevraagde bewerking uit te voeren. Zie Service-eindpunten voor virtuele netwerken voor meer informatie.

Gebruiksscenario's

U kunt standaard Key Vault en virtuele netwerken configureren om toegang tot verkeer van alle netwerken (inclusief internetverkeer) te weigeren. U kunt toegang verlenen tot verkeer van specifieke virtuele Azure-netwerken en ip-adresbereiken van openbare internet, zodat u een beveiligde netwerkgrens voor uw toepassingen kunt bouwen.

Notitie

Key Vault firewalls en regels voor virtuele netwerken zijn alleen van toepassing op het gegevensvlak van Key Vault. Key Vault bewerkingen op het besturingsvlak (zoals bewerkingen maken, verwijderen en wijzigen, toegangsbeleid instellen, firewalls instellen en regels voor virtuele netwerken en de implementatie van geheimen of sleutels via ARM-sjablonen) worden niet beïnvloed door firewalls en regels voor virtuele netwerken.

Hier zijn enkele voorbeelden van hoe u service-eindpunten kunt gebruiken:

  • U gebruikt Key Vault om versleutelingssleutels, toepassingsgeheimen en certificaten op te slaan en u wilt de toegang tot uw sleutelkluis blokkeren via het openbare internet.
  • U wilt de toegang tot uw sleutelkluis vergrendelen zodat alleen uw toepassing, of een korte lijst met aangewezen hosts, verbinding kan maken met uw sleutelkluis.
  • Er wordt een toepassing uitgevoerd in uw virtuele Azure-netwerk en dit virtuele netwerk is vergrendeld voor al het inkomende en uitgaande verkeer. Uw toepassing moet nog steeds verbinding maken met Key Vault om geheimen of certificaten op te halen of cryptografische sleutels te gebruiken.

Vertrouwde services

Hier is een lijst met vertrouwde services die toegang hebben tot een sleutelkluis als de optie Vertrouwde services toestaan is ingeschakeld.

Vertrouwde service Ondersteunde gebruiksscenario's
Azure Virtual Machines-implementatieservice Implementeer certificaten naar VM's vanuit door de klant beheerde Key Vault.
Azure Resource Manager-implementatieservice voor sjablonen Geef beveiligde waarden door tijdens de implementatie.
Azure Disk Encryption volumeversleutelingsservice Toegang tot BitLocker-sleutel (Windows VM) of DM-wachtwoordzin (Linux-VM) en sleutelversleutelingssleutel toestaan tijdens de implementatie van de virtuele machine. Hiermee schakelt u Azure Disk Encryptionin.
Azure Backup Back-up en herstel van relevante sleutels en geheimen toestaan tijdens azure Virtual Machines back-up, met behulp van Azure Backup.
Exchange Online & SharePoint Online Toegang tot de klantsleutel toestaan voor Azure Storage Service Encryption met de klantsleutel.
Azure Information Protection Toegang tot de tenantsleutel voor Azure Information Protection.
Azure App Service Implementeer azure Web App Certificate via Key Vault.
Azure SQL Database Transparent Data Encryption met Bring Your Own Key ondersteuning voor Azure SQL Database en Azure Synapse Analytics.
Azure Storage Storage serviceversleuteling met behulp van door de klant beheerde sleutels in Azure Key Vault.
Azure Data Lake Store Versleuteling van gegevens in Azure Data Lake Store met een door de klant beheerde sleutel.
Azure Synapse Analytics Versleuteling van gegevens met behulp van door de klant beheerde sleutels in Azure Key Vault
Azure Databricks Snelle, eenvoudige en op samenwerking Apache Spark gebaseerde analyseservice
Azure API Management Certificaten implementeren voor Custom Domain van Key Vault met behulp van MSI
Azure Data Factory Gegevensopslagreferenties ophalen uit Key Vault Data Factory
Azure Event Hubs Toegang tot een sleutelkluis toestaan voor een scenario met door de klant beheerde sleutels
Azure Service Bus Toegang tot een sleutelkluis toestaan voor een scenario met door de klant beheerde sleutels
Azure Import/Export Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Import/Export service
Azure Container Registry Registerversleuteling met door de klant beheerde sleutels
Azure Application Gateway Gebruik Key Vault certificaten voor listeners met HTTPS-functie
Azure Front Door Met Key Vault certificaten voor HTTPS

Notitie

U moet het relevante toegangsbeleid voor Key Vault instellen om de bijbehorende services toegang te geven tot Key Vault.

Volgende stappen