Service-eindpunten voor virtuele netwerken voor Azure Key Vault

  • Artikel

Met de service-eindpunten van het virtuele netwerk voor Azure Key Vault kunt u de toegang tot een opgegeven virtueel netwerk beperken. Met de eindpunten kunt u ook de toegang tot een lijst met IPv4-adresbereiken (internetprotocol versie 4) beperken. Elke gebruiker die verbinding maakt met uw sleutelkluis van buiten deze bronnen, heeft geen toegang.

Er is één belangrijke uitzondering op deze beperking. Als een gebruiker zich heeft aangemeld om vertrouwde Microsoft-services toe te staan, worden verbindingen van deze services via de firewall toegestaan. Deze services omvatten bijvoorbeeld Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager en Azure Backup. Dergelijke gebruikers moeten nog steeds een geldig Microsoft Entra-token presenteren en moeten machtigingen hebben (geconfigureerd als toegangsbeleid) om de aangevraagde bewerking uit te voeren. Zie Service-eindpunten voor virtuele netwerken voor meer informatie.

Gebruiksscenario's

U kunt Key Vault-firewalls en virtuele netwerken configureren om de toegang tot verkeer van alle netwerken (inclusief internetverkeer) standaard te weigeren. U kunt toegang verlenen tot verkeer van specifieke virtuele Azure-netwerken en openbare IP-adresbereiken voor internet, zodat u een veilige netwerkgrens voor uw toepassingen kunt bouwen.

Notitie

Key Vault-firewalls en regels voor virtuele netwerken zijn alleen van toepassing op het gegevensvlak van Key Vault. Key Vault-besturingsvlakbewerkingen (zoals bewerkingen voor maken, verwijderen en wijzigen, toegangsbeleid instellen, firewalls instellen en regels voor virtuele netwerken en implementatie van geheimen of sleutels via ARM-sjablonen) worden niet beïnvloed door firewalls en regels voor virtuele netwerken.

Hier volgen enkele voorbeelden van hoe u service-eindpunten kunt gebruiken:

  • U gebruikt Key Vault om versleutelingssleutels, toepassingsgeheimen en certificaten op te slaan en u wilt de toegang tot uw sleutelkluis blokkeren via het openbare internet.
  • U wilt de toegang tot uw sleutelkluis vergrendelen, zodat alleen uw toepassing, of een korte lijst met aangewezen hosts, verbinding kan maken met uw sleutelkluis.
  • U hebt een toepassing die wordt uitgevoerd in uw virtuele Azure-netwerk en dit virtuele netwerk is vergrendeld voor al het inkomende en uitgaande verkeer. Uw toepassing moet nog steeds verbinding maken met Key Vault om geheimen of certificaten op te halen of cryptografische sleutels te gebruiken.

Toegang verlenen tot vertrouwde Azure-services

U kunt toegang verlenen tot vertrouwde Azure-services aan de sleutelkluis, terwijl u netwerkregels voor andere apps onderhoudt. Deze vertrouwde services gebruiken vervolgens sterke verificatie om veilig verbinding te maken met uw sleutelkluis.

U kunt toegang verlenen tot vertrouwde Azure-services door netwerkinstellingen te configureren. Zie de netwerkconfiguratieopties van dit artikel voor stapsgewijze instructies .

Wanneer u toegang verleent tot vertrouwde Azure-services, verleent u de volgende typen toegang:

  • Vertrouwde toegang voor geselecteerde bewerkingen voor resources die zijn geregistreerd in uw abonnement.
  • Vertrouwde toegang tot resources op basis van een beheerde identiteit.
  • Vertrouwde toegang tussen tenants met behulp van een federatieve identiteitsreferentie

Vertrouwde services

Hier volgt een lijst met vertrouwde services die toegang hebben tot een sleutelkluis als de optie Vertrouwde services toestaan is ingeschakeld.

Vertrouwde service Ondersteunde gebruiksscenario's
Azure API Management Certificaten implementeren voor aangepast domein vanuit Key Vault met behulp van MSI
Azure App Service App Service wordt alleen vertrouwd voor het implementeren van Azure-web-app-certificaat via Key Vault, voor afzonderlijke apps zelf, de uitgaande IP-adressen kunnen worden toegevoegd aan de IP-regels van Key Vault
Azure Application Gateway Key Vault-certificaten gebruiken voor listeners met HTTPS
Azure Backup Back-up en herstel van relevante sleutels en geheimen toestaan tijdens back-ups van Virtuele Azure-machines met behulp van Azure Backup.
Azure Batch Door de klant beheerde sleutels configureren voor Batch-accounts en Key Vault voor Batch-accounts voor gebruikersabonnement
Azure Bot Service Azure AI Bot Service-versleuteling voor data-at-rest
Azure CDN HTTPS configureren in een aangepast Azure CDN-domein: Azure CDN toegang verlenen tot uw sleutelkluis
Azure Container Registry Registerversleuteling met door de klant beheerde sleutels
Azure Data Factory Gegevensarchiefreferenties ophalen in Key Vault vanuit Data Factory
Azure Data Lake Store Versleuteling van gegevens in Azure Data Lake Store met een door de klant beheerde sleutel.
Azure Database for MySQL Enkele server Gegevensversleuteling voor Azure Database for MySQL Enkele server
Flexibele Azure Database for MySQL-server Gegevensversleuteling voor Azure Database for MySQL Flexibele server
Azure Database for PostgreSQL Enkele server Gegevensversleuteling voor Azure Database for PostgreSQL Enkele server
Flexibele Azure Database for PostgreSQL-server Gegevensversleuteling voor Azure Database for PostgreSQL Flexibele server
Azure Databricks Snelle, eenvoudige en gezamenlijke analyseservice op basis van Apache Spark
Azure Disk Encryption-volumeversleutelingsservice Toegang tot BitLocker-sleutel (Windows-VM) of DM-wachtwoordzin (Linux-VM) en sleutelversleutelingssleutel toestaan tijdens de implementatie van virtuele machines. Hiermee schakelt u Azure Disk Encryption in.
Azure Disk Storage Wanneer deze is geconfigureerd met een Schijfversleutelingsset (DES). Zie Versleuteling aan de serverzijde van Azure Disk Storage met behulp van door de klant beheerde sleutels voor meer informatie.
Azure Event Hubs Toegang tot een sleutelkluis toestaan voor door de klant beheerde sleutels
Azure ExpressRoute Wanneer u MACsec gebruikt met ExpressRoute Direct
Azure Firewall Premium Azure Firewall Premium-certificaten
Klassieke Azure Front Door Key Vault-certificaten gebruiken voor HTTPS
Azure Front Door Standard/Premium Key Vault-certificaten gebruiken voor HTTPS
Azure Import/Export Door de klant beheerde sleutels gebruiken in Azure Key Vault voor import-/exportservice
Azure Information Protection Toegang tot de tenantsleutel voor Azure Information Protection toestaan.
Azure Machine Learning Azure Machine Learning beveiligen in een virtueel netwerk
Azure Policy Scan Besturingsvlakbeleid voor geheimen, sleutels die zijn opgeslagen in het gegevensvlak
Implementatieservice voor Azure Resource Manager-sjablonen Veilige waarden doorgeven tijdens de implementatie.
Azure Service Bus Toegang tot een sleutelkluis toestaan voor door de klant beheerde sleutels
Azure SQL-database Transparent Data Encryption met Bring Your Own Key-ondersteuning voor Azure SQL Database en Azure Synapse Analytics.
Azure Storage Storage Service Encryption met door de klant beheerde sleutels in Azure Key Vault.
Azure Synapse Analytics Versleuteling van gegevens met door de klant beheerde sleutels in Azure Key Vault
Azure Virtual Machines-implementatieservice Certificaten implementeren op VM's vanuit door de klant beheerde Key Vault.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Toegang tot door de klant beheerde sleutels toestaan voor data-at-rest-versleuteling met de klantsleutel.
Microsoft Purview Referenties gebruiken voor bronverificatie in Microsoft Purview

Notitie

U moet de relevante Key Vault RBAC-roltoewijzingen of toegangsbeleidsregels (verouderd) instellen om de bijbehorende services toegang te geven tot Key Vault.

Volgende stappen