Definir as configurações de rede do Azure Key Vault

Artigo
02/20/2024

Neste artigo, você verá como definir as configurações de rede do Azure Key Vault para funcionar com outros aplicativos e serviços do Azure. Para saber mais sobre as diferentes configurações de segurança de rede em detalhes, leia aqui.

Aqui estão as instruções passo a passo para configurar o firewall e as redes virtuais do Key Vault usando o portal do Azure, a CLI do Azure e o Azure PowerShell

Navegue até o cofre de chaves que você quer proteger.
Selecione Rede e, em seguida, a guia Firewalls e redes virtuais.
Em Permitir acesso de, clique em Redes selecionadas.
Para adicionar redes virtuais existentes a firewalls e regras da rede virtual, selecione + Adicionar redes virtuais existentes.
Na nova folha que é aberta, selecione a assinatura, as redes virtuais e as sub-redes que você quer permitir acesso a esse cofre de chaves. Se as redes virtuais e sub-redes que você selecionar não tiverem pontos de extremidade de serviço habilitados, confirme que você quer habilitar pontos de extremidade de serviço e, em seguida, selecione Habilitar. Pode demorar até 15 minutos para entrar em vigor.
Em Redes IP, adicione intervalos de endereços IPv4, digitando intervalos de endereços IPv4 na notação CIDR (Roteamento Entre Domínios Sem Classe) ou endereços IP individuais.
Caso deseje permitir que os Serviços Confiáveis da Microsoft ignorem o Firewall do Key Vault, selecione 'Sim'. Para obter uma lista completa dos Serviços Confiáveis do Key Vault atuais, confira o link a seguir. Serviços Confiáveis do Azure Key Vault
Clique em Salvar.

Também é possível adicionar novas redes virtuais e sub-redes e, em seguida, habilitar pontos de extremidade de serviço para as redes virtuais e sub-redes recém-criadas, selecionando + Adicionar nova rede virtual. Em seguida, siga os prompts.

Segue como configurar redes virtuais e firewalls do Key Vault usando a CLI do Azure

Instale a CLI do Azure e conecte-se.
Liste as regras da rede virtual disponíveis. Se você ainda não definiu regras para esse cofre de chaves, a lista estará vazia.
```
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
```

Habilite um ponto de extremidade de serviço para Key Vault em uma rede virtual e sub-rede existentes.

az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"

Adicionar uma regra de rede para uma rede virtual e sub-rede.

subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid

Adicione um intervalo de endereços IP que permite tráfego.

az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"

Se o cofre de chaves precisar ser acessível por qualquer serviço confiável, defina bypass para AzureServices.
```
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
```

Ative as regras de rede definindo a ação padrão como Deny.

az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Segue como configurar redes virtuais e firewalls do Key Vault usando o PowerShell:

Instale o Azure PowerShell mais recente e conecte.
Liste as regras da rede virtual disponíveis. Se você ainda não definiu regras para esse cofre de chaves, a lista estará vazia.
```
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
```

Habilitar ponto de extremidade de serviço para Key Vault em uma rede virtual e sub-rede existentes.

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork

Adicionar uma regra de rede para uma rede virtual e sub-rede.

$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id

Adicione um intervalo de endereços IP que permite tráfego.

Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"

Se o cofre de chaves precisar ser acessível por qualquer serviço confiável, defina bypass para AzureServices.
```
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
```

Ative as regras de rede definindo a ação padrão como Deny.

Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny

Referências

Referência de modelo ARM: Referência de modelo ARM do Azure Key Vault
Comandos da CLI do Azure: az keyvault network-rule
Cmdlets do Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Definir as configurações de rede do Azure Key Vault

Referências

Próximas etapas

Recursos adicionais