Punkty końcowe usługi sieci wirtualnej dla usługi Azure Key Vault

  • Artykuł

Punkty końcowe usługi sieci wirtualnej dla usługi Azure Key Vault umożliwiają ograniczenie dostępu do określonej sieci wirtualnej. Punkty końcowe umożliwiają również ograniczenie dostępu do listy zakresów adresów IPv4 (protokół internetowy w wersji 4). Każdy użytkownik nawiązujący połączenie z magazynem kluczy spoza tych źródeł nie ma dostępu.

Istnieje jeden ważny wyjątek od tego ograniczenia. Jeśli użytkownik zezwolił na zaufane usługi firmy Microsoft, połączenia z tych usług są przekazywane przez zaporę. Na przykład te usługi obejmują usługi Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager i Azure Backup. Tacy użytkownicy nadal muszą przedstawić prawidłowy token firmy Microsoft Entra i muszą mieć uprawnienia (skonfigurowane jako zasady dostępu), aby wykonać żądaną operację. Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej.

Scenariusze użycia

Zapory i sieci wirtualne usługi Key Vault można skonfigurować tak, aby domyślnie blokowały dostęp do ruchu ze wszystkich sieci (w tym ruchu internetowego). Możesz udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure i publicznych zakresów adresów IP internetowych, co pozwala utworzyć bezpieczną granicę sieci dla aplikacji.

Uwaga

Zapory usługi Key Vault i reguły sieci wirtualnej mają zastosowanie tylko do płaszczyzny danych usługi Key Vault. Operacje płaszczyzny sterowania usługi Key Vault (takie jak tworzenie, usuwanie i modyfikowanie operacji, ustawianie zasad dostępu, ustawianie zapór i reguł sieci wirtualnej oraz wdrażanie wpisów tajnych lub kluczy za pośrednictwem szablonów usługi ARM) nie mają wpływu na zapory i reguły sieci wirtualnej.

Oto kilka przykładów użycia punktów końcowych usługi:

  • Używasz usługi Key Vault do przechowywania kluczy szyfrowania, wpisów tajnych aplikacji i certyfikatów oraz chcesz zablokować dostęp do magazynu kluczy z publicznego Internetu.
  • Chcesz zablokować dostęp do magazynu kluczy, aby tylko aplikacja lub krótka lista wyznaczonych hostów mogła łączyć się z magazynem kluczy.
  • Masz aplikację działającą w sieci wirtualnej platformy Azure, a ta sieć wirtualna jest zablokowana dla całego ruchu przychodzącego i wychodzącego. Aplikacja nadal musi nawiązać połączenie z usługą Key Vault, aby pobrać wpisy tajne lub certyfikaty albo użyć kluczy kryptograficznych.

Udzielanie dostępu do zaufanych usług platformy Azure

Dostęp do zaufanych usług platformy Azure można udzielić magazynowi kluczy przy zachowaniu reguł sieci dla innych aplikacji. Te zaufane usługi będą następnie używać silnego uwierzytelniania do bezpiecznego nawiązywania połączenia z magazynem kluczy.

Dostęp do zaufanych usług platformy Azure można udzielić, konfigurując ustawienia sieci. Aby uzyskać szczegółowe wskazówki, zobacz opcje konfiguracji sieci w tym artykule.

Po udzieleniu dostępu do zaufanych usług platformy Azure udzielasz następujących typów dostępu:

  • Zaufany dostęp do wybranych operacji dla zasobów zarejestrowanych w ramach subskrypcji.
  • Zaufany dostęp do zasobów na podstawie tożsamości zarządzanej.
  • Zaufany dostęp między dzierżawami przy użyciu poświadczeń tożsamości federacyjnej

Zaufane usługi

Oto lista zaufanych usług, które mogą uzyskiwać dostęp do magazynu kluczy, jeśli opcja Zezwalaj na zaufane usługi jest włączona.

Zaufana usługa Obsługiwane scenariusze użycia
Usługa Azure API Management Wdrażanie certyfikatów dla domeny niestandardowej z usługi Key Vault przy użyciu tożsamości usługi zarządzanej
Azure App Service Usługa App Service jest zaufana tylko w przypadku wdrażania certyfikatu aplikacji internetowej platformy Azure za pośrednictwem usługi Key Vault. W przypadku pojedynczej aplikacji adresy IP ruchu wychodzącego można dodać w regułach opartych na adresach IP usługi Key Vault
Usługa Azure Application Gateway Używanie certyfikatów usługi Key Vault dla odbiorników z obsługą protokołu HTTPS
Azure Backup Zezwalaj na tworzenie kopii zapasowych i przywracanie odpowiednich kluczy i wpisów tajnych podczas tworzenia kopii zapasowej usługi Azure Virtual Machines przy użyciu usługi Azure Backup.
Usługa Azure Batch Konfigurowanie kluczy zarządzanych przez klienta dla kont usługi Batch i usługi Key Vault dla kont usługi Batch subskrypcji użytkownika
Azure Bot Service Szyfrowanie usługi Azure AI Bot Service dla danych magazynowanych
Azure CDN Konfigurowanie protokołu HTTPS w domenie niestandardowej usługi Azure CDN: udzielanie usłudze Azure CDN dostępu do magazynu kluczy
Azure Container Registry Szyfrowanie rejestru przy użyciu kluczy zarządzanych przez klienta
Azure Data Factory Pobieranie poświadczeń magazynu danych w usłudze Key Vault z usługi Data Factory
Azure Data Lake Store Szyfrowanie danych w usłudze Azure Data Lake Store przy użyciu klucza zarządzanego przez klienta.
Pojedynczy serwer usługi Azure Database for MySQL Szyfrowanie danych dla pojedynczego serwera usługi Azure Database for MySQL
Serwer elastyczny usługi Azure Database for MySQL Szyfrowanie danych dla serwera elastycznego usługi Azure Database for MySQL
Pojedynczy serwer usługi Azure Database for PostgreSQL Szyfrowanie danych dla pojedynczego serwera usługi Azure Database for PostgreSQL
Serwer elastyczny usługi Azure Database for PostgreSQL Szyfrowanie danych dla serwera elastycznego usługi Azure Database for PostgreSQL
Azure Databricks Szybka, łatwa i wspólna usługa analizy oparta na platformie Apache Spark
Usługa szyfrowania woluminów usługi Azure Disk Encryption Zezwalaj na dostęp do klucza funkcji BitLocker (maszyny wirtualnej z systemem Windows) lub hasła DM (maszyna wirtualna z systemem Linux) i klucza szyfrowania klucza podczas wdrażania maszyny wirtualnej. Umożliwia to usługę Azure Disk Encryption.
Azure Disk Storage Po skonfigurowaniu przy użyciu zestawu szyfrowania dysków (DES). Aby uzyskać więcej informacji, zobacz Szyfrowanie po stronie serwera usługi Azure Disk Storage przy użyciu kluczy zarządzanych przez klienta.
Azure Event Hubs Zezwalanie na dostęp do magazynu kluczy dla scenariusza kluczy zarządzanych przez klienta
Azure ExpressRoute W przypadku korzystania z protokołu MACsec z usługą ExpressRoute Direct
Usługa Azure Firewall w warstwie Premium Certyfikaty usługi Azure Firewall — wersja Premium
Azure Front Door — wersja klasyczna Używanie certyfikatów usługi Key Vault dla protokołu HTTPS
Usługa Azure Front Door w warstwie Standardowa/Premium Używanie certyfikatów usługi Key Vault dla protokołu HTTPS
Usługa Azure Import/Export Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault do importowania/eksportowania
Azure Information Protection Zezwalaj na dostęp do klucza dzierżawy dla usługi Azure Information Protection.
Azure Machine Learning Zabezpieczanie Edukacja maszyny platformy Azure w sieci wirtualnej
Skanowanie w usłudze Azure Policy Zasady płaszczyzny sterowania dla wpisów tajnych, kluczy przechowywanych w płaszczyźnie danych
Usługa wdrażania szablonu usługi Azure Resource Manager Przekazywanie bezpiecznych wartości podczas wdrażania.
Azure Service Bus Zezwalanie na dostęp do magazynu kluczy dla scenariusza kluczy zarządzanych przez klienta
Azure SQL Database Funkcja Transparent Data Encryption z obsługą rozwiązania Bring Your Own Key dla usług Azure SQL Database i Azure Synapse Analytics.
Azure Storage Szyfrowanie usługi Storage przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Key Vault.
Azure Synapse Analytics Szyfrowanie danych przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Key Vault
Usługa wdrażania usługi Azure Virtual Machines Wdrażanie certyfikatów na maszynach wirtualnych z zarządzanej przez klienta usługi Key Vault.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Zezwalaj na dostęp do kluczy zarządzanych przez klienta na potrzeby szyfrowania danych magazynowanych przy użyciu klucza klienta.
Microsoft Purview Używanie poświadczeń do uwierzytelniania źródłowego w usłudze Microsoft Purview

Uwaga

Należy skonfigurować odpowiednie przypisania ról RBAC usługi Key Vault lub zasady dostępu (starsza wersja), aby umożliwić odpowiednim usługom uzyskiwanie dostępu do usługi Key Vault.

Następne kroki