Konfigurowanie zapór Azure Key Vault i sieci wirtualnychConfigure Azure Key Vault firewalls and virtual networks

W tym artykule przedstawiono wskazówki dotyczące konfigurowania zapory Azure Key Vault.This article will provide you with guidance on how to configure the Azure Key Vault firewall. W tym dokumencie przedstawiono szczegółowe informacje o różnych konfiguracjach zapory Key Vault i przedstawiono instrukcje krok po kroku dotyczące konfigurowania Azure Key Vault do pracy z innymi aplikacjami i usługami platformy Azure.This document will cover the different configurations for the Key Vault firewall in detail, and provide step-by-step instructions on how to configure Azure Key Vault to work with other applications and Azure services.

Ustawienia zaporyFirewall Settings

Ta sekcja obejmuje różne sposoby konfigurowania zapory Azure Key Vault.This section will cover the different ways that the Azure Key Vault firewall can be configured.

Zapora Key Vault wyłączona (wartość domyślna)Key Vault Firewall Disabled (Default)

Domyślnie podczas tworzenia nowego magazynu kluczy Zapora Azure Key Vault jest wyłączona.By default, when you create a new key vault, the Azure Key Vault firewall is disabled. Wszystkie aplikacje i usługi platformy Azure mogą uzyskiwać dostęp do magazynu kluczy i wysyłać żądania do magazynu kluczy.All applications and Azure services can access the key vault and send requests to the key vault. Należy pamiętać, że ta konfiguracja nie oznacza, że każdy użytkownik będzie mógł wykonywać operacje w magazynie kluczy.Note, this configuration does not mean that any user will be able to perform operations on your key vault. Magazyn kluczy nadal ogranicza do wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy, wymagając Azure Active Directory uprawnień do uwierzytelniania i dostępu.The key vault still restricts to secrets, keys, and certificates stored in key vault by requiring Azure Active Directory authentication and access policy permissions. Aby bardziej szczegółowo zrozumieć uwierzytelnianie magazynu kluczy, zobacz dokument podstawoweuwierzytelnianie magazynu kluczy.To understand key vault authentication in more detail see the key vault authentication fundamentals document here.

Key Vault włączona Zapora (tylko zaufane usługi)Key Vault Firewall Enabled (Trusted Services Only)

Po włączeniu Zapory Key Vault zostanie nadana opcja "Zezwalaj zaufanym usługom firmy Microsoft na ominięcie tej zapory".When you enable the Key Vault Firewall, you will be given an option to 'Allow Trusted Microsoft Services to bypass this firewall.' Lista zaufanych usług nie obejmuje każdej pojedynczej usługi platformy Azure.The trusted services list does not cover every single Azure service. Na przykład usługa Azure DevOps nie znajduje się na liście zaufanych usług.For example, Azure DevOps is not on the trusted services list. Nie oznacza to, że usługi, które nie znajdują się na liście zaufanych usług, nie są zaufane ani niezabezpieczone.This does not imply that services that do not appear on the trusted services list not trusted or insecure. Lista zaufanych usług obejmuje usługi, w których firma Microsoft kontroluje cały kod, który jest uruchamiany w usłudze.The trusted services list encompasses services where Microsoft controls all of the code that runs on the service. Ponieważ użytkownicy mogą pisać kod niestandardowy w usługach platformy Azure, takich jak Azure DevOps, firma Microsoft nie udostępnia opcji tworzenia zbiorczego zatwierdzenia dla usługi.Since users can write custom code in Azure services such as Azure DevOps, Microsoft does not provide the option to create a blanket approval for the service. Ponadto, tylko ponieważ usługa pojawia się na liście zaufanych usług, nie oznacza to, że jest ona dozwolona dla wszystkich scenariuszy.Furthermore, just because a service appears on the trusted service list, doesn't mean it is allowed for all scenarios.

Aby ustalić, czy usługa, której próbujesz użyć, znajduje się na liście zaufanych usług, zapoznaj się z poniższym dokumentem poniżej.To determine if a service you are trying to use is on the trusted service list, please see the following document here.

Key Vault włączona Zapora (adresy IPv4 i zakresy — statyczne adresy IP)Key Vault Firewall Enabled (IPv4 Addresses and Ranges - Static IPs)

Jeśli chcesz autoryzować określoną usługę do uzyskiwania dostępu do magazynu kluczy za pomocą zapory Key Vault, możesz dodać adres IP do listy dozwolonych zapór magazynu kluczy.If you would like to authorize a particular service to access key vault through the Key Vault Firewall, you can add it's IP Address to the key vault firewall allow list. Ta konfiguracja jest Najlepsza w przypadku usług korzystających ze statycznych adresów IP lub dobrze znanych zakresów.This configuration is best for services that use static IP addresses or well-known ranges.

Aby zezwolić na adres IP lub zakres zasobów platformy Azure, takich jak aplikacja sieci Web lub aplikacja logiki, wykonaj następujące czynności.To allow an IP Address or range of an Azure resource, such as a Web App or Logic App, perform the following steps.

  1. Logowanie do witryny Azure PortalLog in to the Azure portal
  2. Wybierz zasób (określone wystąpienie usługi)Select the resource (specific instance of the service)
  3. Kliknij blok "właściwości" w obszarze "Ustawienia"Click on the 'Properties' blade under 'Settings'
  4. Wyszukaj pole "adres IP".Look for the "IP Address" field.
  5. Skopiuj tę wartość lub zakres i wprowadź ją na liście dozwolonych zapór magazynu kluczy.Copy this value or range and enter it into the key vault firewall allow list.

Aby zezwolić na całą usługę platformy Azure, za pomocą zapory Key Vault, użyj publicznie udokumentowanych adresów IP centrów danych dla platformy Azure.To allow an entire Azure service, through the Key Vault firewall, use the list of publicly documented data center IP addresses for Azure here. Znajdź adresy IP skojarzone z usługą, które chcesz umieścić w wybranym regionie, i Dodaj te adresy IP do zapory magazynu kluczy za pomocą powyższych kroków.Find the IP addresses associated with the service you would like in the region you want and add those IP addresses to the key vault firewall using the steps above.

Key Vault włączona Zapora (sieci wirtualne — dynamiczne adresy IP)Key Vault Firewall Enabled (Virtual Networks - Dynamic IPs)

Jeśli próbujesz zezwolić na zasoby platformy Azure, takie jak maszyna wirtualna, za pomocą magazynu kluczy, możesz nie być w stanie używać statycznych adresów IP i możesz nie zezwalać na dostęp do magazynu kluczy wszystkim adresom IP dla usługi Azure Virtual Machines.If you are trying to allow an Azure resource such as a virtual machine through key vault, you may not be able to use Static IP addresses, and you may not want to allow all IP addresses for Azure Virtual Machines to access your key vault.

W takim przypadku należy utworzyć zasób w sieci wirtualnej, a następnie zezwolić na ruch z określonej sieci wirtualnej i podsieci w celu uzyskania dostępu do magazynu kluczy.In this case, you should create the resource within a virtual network, and then allow traffic from the specific virtual network and subnet to access your key vault. Aby to zrobić, wykonaj następujące czynności.To do this, perform the following steps.

  1. Logowanie do witryny Azure PortalLog in to the Azure portal
  2. Wybierz magazyn kluczy, który chcesz skonfigurowaćSelect the key vault you wish to configure
  3. Wybieranie bloku "Sieć"Select the 'Networking' blade
  4. Wybierz pozycję "+ Dodaj istniejącą sieć wirtualną"Select '+ Add existing virtual network'
  5. Wybierz sieć wirtualną i podsieć, dla której chcesz zezwolić za pomocą zapory magazynu kluczy.Select the virtual network and subnet you would like to allow through the key vault firewall.

Aby dowiedzieć się, jak skonfigurować połączenie z linkiem prywatnym w magazynie kluczy, zobacz dokument w tym miejscu.To understand how to configure a private link connection on your key vault, please see the document here.

Ważne

Po zastosowaniu reguł zapory użytkownicy mogą wykonywać Key Vault operacje płaszczyzny danych tylko wtedy, gdy ich żądania pochodzą z dozwolonych sieci wirtualnych lub zakresów adresów IPv4.After firewall rules are in effect, users can only perform Key Vault data plane operations when their requests originate from allowed virtual networks or IPv4 address ranges. Dotyczy to również uzyskiwania dostępu do Key Vault z Azure Portal.This also applies to accessing Key Vault from the Azure portal. Mimo że użytkownicy mogą przechodzić do magazynu kluczy z Azure Portal, mogą nie być w stanie wyświetlać kluczy, wpisów tajnych ani certyfikatów, jeśli ich maszyny klienckie nie znajdują się na liście dozwolonych.Although users can browse to a key vault from the Azure portal, they might not be able to list keys, secrets, or certificates if their client machine is not in the allowed list. Ma to również wpływ na wybór Key Vault przez inne usługi platformy Azure.This also affects the Key Vault Picker by other Azure services. Użytkownicy mogą widzieć listę magazynów kluczy, ale nie listy kluczy, jeśli reguły zapory uniemożliwiają ich komputerom klienckim.Users might be able to see list of key vaults, but not list keys, if firewall rules prevent their client machine.

Uwaga

Należy pamiętać o następujących ograniczeniach konfiguracji:Be aware of the following configuration limitations:

  • Dozwolone są maksymalnie 127 reguły sieci wirtualnej i 127.A maximum of 127 virtual network rules and 127 IPv4 rules are allowed.
  • Reguły sieci IP są dozwolone tylko dla publicznych adresów IP.IP network rules are only allowed for public IP addresses. Zakresy adresów IP zarezerwowane dla sieci prywatnych (zgodnie z definicją w dokumencie RFC 1918) nie są dozwolone w regułach adresów IP.IP address ranges reserved for private networks (as defined in RFC 1918) are not allowed in IP rules. Sieci prywatne obejmują adresy, które zaczynają się od 10., 172.16-31 i 192,168.Private networks include addresses that start with 10., 172.16-31, and 192.168..
  • W tej chwili są obsługiwane tylko adresy IPv4.Only IPv4 addresses are supported at this time.

Korzystanie z witryny Azure PortalUse the Azure portal

Poniżej przedstawiono sposób konfigurowania zapór Key Vault i sieci wirtualnych przy użyciu Azure Portal:Here's how to configure Key Vault firewalls and virtual networks by using the Azure portal:

  1. Przejdź do magazynu kluczy, który chcesz zabezpieczyć.Browse to the key vault you want to secure.
  2. Wybierz pozycję Sieć, a następnie wybierz kartę zapory i sieci wirtualne .Select Networking, and then select the Firewalls and virtual networks tab.
  3. W obszarze Zezwalaj na dostęp z, wybierz opcję wybrane sieci.Under Allow access from, select Selected networks.
  4. Aby dodać istniejące sieci wirtualne do zapór i reguł sieci wirtualnej, wybierz pozycję + Dodaj istniejące sieci wirtualne.To add existing virtual networks to firewalls and virtual network rules, select + Add existing virtual networks.
  5. W nowym bloku, który zostanie otwarty, wybierz subskrypcję, sieci wirtualne i podsieci, dla których chcesz zezwolić na dostęp do tego magazynu kluczy.In the new blade that opens, select the subscription, virtual networks, and subnets that you want to allow access to this key vault. Jeśli wybrane sieci wirtualne i podsieci nie mają włączonych punktów końcowych usługi, potwierdź, że chcesz włączyć punkty końcowe usługi, a następnie wybierz pozycję Włącz.If the virtual networks and subnets you select don't have service endpoints enabled, confirm that you want to enable service endpoints, and select Enable. Wprowadzenie zmian może potrwać do 15 minut.It might take up to 15 minutes to take effect.
  6. W obszarze sieci IP Dodaj zakresy adresów IPv4, wpisując zakresy adresów IPv4 w notacji CIDR (bezklasowe Routing między domenami) lub pojedynczych adresów IP.Under IP Networks, add IPv4 address ranges by typing IPv4 address ranges in CIDR (Classless Inter-domain Routing) notation or individual IP addresses.
  7. Jeśli chcesz zezwolić usłudze Microsoft Trusted Services na ominięcie zapory Key Vault, wybierz pozycję "tak".If you want to allow Microsoft Trusted Services to bypass the Key Vault Firewall, select 'Yes'. Aby zapoznać się z pełną listą bieżących Key Vault zaufanych usług, Skorzystaj z następującego linku.For a full list of the current Key Vault Trusted Services please see the following link. Azure Key Vault zaufanych usługAzure Key Vault Trusted Services
  8. Wybierz pozycję Zapisz.Select Save.

Możesz również dodać nowe sieci wirtualne i podsieci, a następnie włączyć punkty końcowe usługi dla nowo utworzonych sieci wirtualnych i podsieci, wybierając pozycję + Dodaj nową sieć wirtualną.You can also add new virtual networks and subnets, and then enable service endpoints for the newly created virtual networks and subnets, by selecting + Add new virtual network. Następnie postępuj zgodnie z monitami.Then follow the prompts.

Używanie interfejsu wiersza polecenia platformy AzureUse the Azure CLI

Poniżej przedstawiono sposób konfigurowania zapór Key Vault i sieci wirtualnych przy użyciu interfejsu wiersza polecenia platformy AzureHere's how to configure Key Vault firewalls and virtual networks by using the Azure CLI

  1. Zainstaluj interfejs wiersza polecenia platformy Azure i Zaloguj się.Install Azure CLI and sign in.

  2. Wyświetl listę dostępnych reguł sieci wirtualnej.List available virtual network rules. Jeśli nie ustawiono żadnych reguł dla tego magazynu kluczy, lista będzie pusta.If you haven't set any rules for this key vault, the list will be empty.

    az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
    
  3. Włącz punkt końcowy usługi dla Key Vault w istniejącej sieci wirtualnej i podsieci.Enable a service endpoint for Key Vault on an existing virtual network and subnet.

    az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
    
  4. Dodaj regułę sieciową dla sieci wirtualnej i podsieci.Add a network rule for a virtual network and subnet.

    subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
    az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
    
  5. Dodaj zakres adresów IP, z którego ma być dozwolony ruch.Add an IP address range from which to allow traffic.

    az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
    
  6. Jeśli ten magazyn kluczy powinien być dostępny dla wszystkich zaufanych usług, ustaw opcję bypass na AzureServices .If this key vault should be accessible by any trusted services, set bypass to AzureServices.

    az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
    
  7. Włącz reguły sieci, ustawiając domyślną akcję na Deny .Turn the network rules on by setting the default action to Deny.

    az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
    

Korzystanie z programu Azure PowerShellUse Azure PowerShell

Uwaga

Ten artykuł został zaktualizowany o korzystanie z nowego modułu Azure PowerShell Az.This article has been updated to use the new Azure PowerShell Az module. Nadal możesz używać modułu AzureRM, który będzie nadal otrzymywać poprawki błędów do co najmniej grudnia 2020 r.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Aby dowiedzieć się więcej na temat nowego modułu Az i zgodności z modułem AzureRM, zobacz Wprowadzenie do nowego modułu Az programu Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Aby uzyskać instrukcje dotyczące instalacji modułu Az, zobacz Instalowanie programu Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Poniżej przedstawiono sposób konfigurowania zapór Key Vault i sieci wirtualnych przy użyciu programu PowerShell:Here's how to configure Key Vault firewalls and virtual networks by using PowerShell:

  1. Zainstaluj najnowszą Azure PowerShelli Zaloguj się.Install the latest Azure PowerShell, and sign in.

  2. Wyświetl listę dostępnych reguł sieci wirtualnej.List available virtual network rules. Jeśli nie ustawiono żadnych reguł dla tego magazynu kluczy, lista będzie pusta.If you have not set any rules for this key vault, the list will be empty.

    (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
    
  3. Włącz punkt końcowy usługi dla Key Vault w istniejącej sieci wirtualnej i podsieci.Enable service endpoint for Key Vault on an existing virtual network and subnet.

    Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
    
  4. Dodaj regułę sieciową dla sieci wirtualnej i podsieci.Add a network rule for a virtual network and subnet.

    $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
    Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
    
  5. Dodaj zakres adresów IP, z którego ma być dozwolony ruch.Add an IP address range from which to allow traffic.

    Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
    
  6. Jeśli ten magazyn kluczy powinien być dostępny dla wszystkich zaufanych usług, ustaw opcję bypass na AzureServices .If this key vault should be accessible by any trusted services, set bypass to AzureServices.

    Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
    
  7. Włącz reguły sieci, ustawiając domyślną akcję na Deny .Turn the network rules on by setting the default action to Deny.

    Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
    

OdwołaniaReferences

Następne krokiNext steps