Azure Key Vault firewalls en virtuele netwerken configurerenConfigure Azure Key Vault firewalls and virtual networks

In dit artikel vindt u stapsgewijze instructies voor het configureren van Azure Key Vault firewalls en virtuele netwerken om de toegang tot uw sleutel kluis te beperken.This article provides step-by-step instructions to configure Azure Key Vault firewalls and virtual networks to restrict access to your key vault. Met de service-eind punten voor virtuele netwerken voor Key Vault kunt u de toegang beperken tot een opgegeven virtueel netwerk en een set van IPv4-adresbereiken (Internet Protocol versie 4).The virtual network service endpoints for Key Vault allow you to restrict access to a specified virtual network and set of IPv4 (internet protocol version 4) address ranges.

Belangrijk

Nadat de firewall regels van kracht zijn, kunnen gebruikers alleen Key Vault gegevensvlak bewerkingen uitvoeren wanneer hun aanvragen afkomstig zijn van toegestane virtuele netwerken of IPv4-adresbereiken.After firewall rules are in effect, users can only perform Key Vault data plane operations when their requests originate from allowed virtual networks or IPv4 address ranges. Dit geldt ook voor toegang tot Key Vault vanuit de Azure Portal.This also applies to accessing Key Vault from the Azure portal. Hoewel gebruikers kunnen bladeren naar een sleutel kluis van de Azure Portal, kunnen ze mogelijk geen sleutels, geheimen of certificaten weer geven als hun client computer niet in de lijst met toegestane clients staat.Although users can browse to a key vault from the Azure portal, they might not be able to list keys, secrets, or certificates if their client machine is not in the allowed list. Dit is ook van invloed op de Key Vault kiezer door andere Azure-Services.This also affects the Key Vault Picker by other Azure services. Gebruikers kunnen mogelijk een lijst met sleutel kluizen zien, maar geen lijst met sleutels als firewall regels hun client computer verhinderen.Users might be able to see list of key vaults, but not list keys, if firewall rules prevent their client machine.

Azure Portal gebruikenUse the Azure portal

U kunt als volgt Key Vault firewalls en virtuele netwerken configureren met behulp van de Azure Portal:Here's how to configure Key Vault firewalls and virtual networks by using the Azure portal:

  1. Blader naar de sleutel kluis die u wilt beveiligen.Browse to the key vault you want to secure.
  2. Selecteer firewalls en virtuele netwerken.Select Firewalls and virtual networks.
  3. Selecteer onder toegang toestaan vanuitde optie geselecteerde netwerken.Under Allow access from, select Selected networks.
  4. Als u bestaande virtuele netwerken wilt toevoegen aan firewalls en regels voor virtuele netwerken, selecteert u + bestaande virtuele netwerken toevoegen.To add existing virtual networks to firewalls and virtual network rules, select + Add existing virtual networks.
  5. Selecteer op de nieuwe blade die wordt geopend, het abonnement, de virtuele netwerken en de subnetten die u toegang wilt geven tot deze sleutel kluis.In the new blade that opens, select the subscription, virtual networks, and subnets that you want to allow access to this key vault. Als voor de virtuele netwerken en subnetten die u selecteert, geen service-eind punten zijn ingeschakeld, bevestigt u dat u service-eind punten wilt inschakelen en selecteert u inschakelen.If the virtual networks and subnets you select don't have service endpoints enabled, confirm that you want to enable service endpoints, and select Enable. Het kan tot vijf tien minuten duren voordat deze is doorgevoerd.It might take up to 15 minutes to take effect.
  6. Voeg onder IP-netwerkenIPv4-adresbereiken toe door IPv4-adresbereiken te typen in CIDR (Klasseloze route ring tussen domeinen) of afzonderlijke IP-adressen.Under IP Networks, add IPv4 address ranges by typing IPv4 address ranges in CIDR (Classless Inter-domain Routing) notation or individual IP addresses.
  7. Selecteer Opslaan.Select Save.

U kunt ook nieuwe virtuele netwerken en subnetten toevoegen en vervolgens service-eind punten inschakelen voor de zojuist gemaakte virtuele netwerken en subnetten door + nieuw virtueel netwerk toevoegente selecteren.You can also add new virtual networks and subnets, and then enable service endpoints for the newly created virtual networks and subnets, by selecting + Add new virtual network. Volg vervolgens de aanwijzingen.Then follow the prompts.

Azure CLI gebruikenUse the Azure CLI

U kunt als volgt Key Vault firewalls en virtuele netwerken configureren met behulp van de Azure CLIHere's how to configure Key Vault firewalls and virtual networks by using the Azure CLI

  1. Installeer Azure cli en Meld u aan.Install Azure CLI and sign in.

  2. Beschik bare regels voor virtuele netwerken weer geven.List available virtual network rules. Als u geen regels voor deze sleutel kluis hebt ingesteld, is de lijst leeg.If you haven't set any rules for this key vault, the list will be empty.

    az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
    
  3. Schakel een service-eind punt in voor Key Vault op een bestaand virtueel netwerk en subnet.Enable a service endpoint for Key Vault on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
    
  4. Voeg een regel voor een virtueel netwerk en subnet toe.Add a network rule for a virtual network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
    
  5. Een IP-adres bereik toevoegen waaruit verkeer kan worden toegestaan.Add an IP address range from which to allow traffic.

    az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
    
  6. Als deze sleutel kluis toegankelijk moet zijn voor vertrouwde services, stelt bypass u in op. AzureServicesIf this key vault should be accessible by any trusted services, set bypass to AzureServices.

    az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
    
  7. Schakel de netwerk regels in door de standaard actie in te Denystellen op.Turn the network rules on by setting the default action to Deny.

    az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
    

Azure PowerShell gebruikenUse Azure PowerShell

Notitie

Dit artikel is bijgewerkt voor het gebruik van de nieuwe Azure PowerShell Az-module.This article has been updated to use the new Azure PowerShell Az module. De AzureRM-module kan nog worden gebruikt en krijgt bugoplossingen tot ten minste december 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Zie voor meer informatie over de nieuwe Az-module en compatibiliteit met AzureRM Introductie van de nieuwe Az-module van Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Raadpleeg Azure PowerShell installeren voor instructies over de installatie van de Az-module.For Az module installation instructions, see Install Azure PowerShell.

U kunt als volgt Key Vault firewalls en virtuele netwerken configureren met behulp van Power shell:Here's how to configure Key Vault firewalls and virtual networks by using PowerShell:

  1. Installeer de nieuwste Azure PowerShellen Meldu aan.Install the latest Azure PowerShell, and sign in.

  2. Beschik bare regels voor virtuele netwerken weer geven.List available virtual network rules. Als u geen regels voor deze sleutel kluis hebt ingesteld, is de lijst leeg.If you have not set any rules for this key vault, the list will be empty.

    (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
    
  3. Service-eind punt inschakelen voor Key Vault op een bestaand virtueel netwerk en subnet.Enable service endpoint for Key Vault on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
    
  4. Voeg een regel voor een virtueel netwerk en subnet toe.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
    
  5. Een IP-adres bereik toevoegen waaruit verkeer kan worden toegestaan.Add an IP address range from which to allow traffic.

    Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
    
  6. Als deze sleutel kluis toegankelijk moet zijn voor vertrouwde services, stelt bypass u in op. AzureServicesIf this key vault should be accessible by any trusted services, set bypass to AzureServices.

    Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
    
  7. Schakel de netwerk regels in door de standaard actie in te Denystellen op.Turn the network rules on by setting the default action to Deny.

    Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
    

VerwijzingenReferences

Volgende stappenNext steps