Configurar as definições de rede do Azure Key Vault

Este artigo irá fornecer-lhe orientações sobre como configurar as definições de rede do Azure Key Vault para trabalhar com outras aplicações e serviços do Azure. Para saber mais sobre as diferentes configurações de segurança de rede em detalhe, leia aqui.

Eis as instruções passo a passo para configurar Key Vault firewall e redes virtuais com o portal do Azure, a CLI do Azure e o Azure PowerShell

Portal

1. Navegue para o cofre de chaves que pretende proteger.
2. Selecione Rede e, em seguida, selecione o separador Firewalls e redes virtuais .
3. Em Permitir acesso a partir de, selecione Redes selecionadas.
4. Para adicionar redes virtuais existentes a firewalls e regras de rede virtual, selecione + Adicionar redes virtuais existentes.
5. No novo painel que é aberto, selecione a subscrição, as redes virtuais e as sub-redes que pretende permitir o acesso a este cofre de chaves. Se as redes virtuais e as sub-redes que selecionar não tiverem pontos finais de serviço ativados, confirme que pretende ativar os pontos finais de serviço e selecione Ativar. Pode demorar até 15 minutos a entrar em vigor.
6. Em Redes IP, adicione intervalos de endereços IPv4 ao escrever intervalos de endereços IPv4 na notação CIDR (Classless Inter-domain Routing) ou endereços IP individuais.
7. Se quiser permitir que os Serviços Fidedignos da Microsoft ignorem o Key Vault Firewall, selecione "Sim". Para obter uma lista completa dos serviços fidedignos do Key Vault atual, veja a seguinte ligação. Serviços Fidedignos do Azure Key Vault
8. Selecione Guardar.

Também pode adicionar novas redes virtuais e sub-redes e, em seguida, ativar pontos finais de serviço para as redes virtuais e sub-redes recém-criadas ao selecionar + Adicionar nova rede virtual. Em seguida, siga as instruções.

CLI do Azure

Eis como configurar firewalls Key Vault e redes virtuais com a CLI do Azure

1. Instale a CLI do Azure e inicie sessão.

2. Listar as regras de rede virtual disponíveis. Se não tiver definido regras para este cofre de chaves, a lista estará vazia.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. Ative um ponto final de serviço para Key Vault numa rede virtual e sub-rede existentes.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. Adicione uma regra de rede para uma rede virtual e sub-rede.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. Adicione um intervalo de endereços IP a partir do qual permitir tráfego.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. Se este cofre de chaves deve estar acessível por quaisquer serviços fidedignos, defina bypass como AzureServices.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. Ative as regras de rede ao definir a ação predefinida como Deny.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

Nota

Recomendamos que utilize o módulo Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Eis como configurar firewalls Key Vault e redes virtuais com o PowerShell:

1. Instale a Azure PowerShell mais recente e inicie sessão.

2. Listar as regras de rede virtual disponíveis. Se não tiver definido regras para este cofre de chaves, a lista estará vazia.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. Ative o ponto final de serviço para Key Vault numa rede virtual e sub-rede existentes.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. Adicione uma regra de rede para uma rede virtual e sub-rede.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. Adicione um intervalo de endereços IP a partir do qual permitir tráfego.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. Se este cofre de chaves deve estar acessível por quaisquer serviços fidedignos, defina bypass como AzureServices.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. Ative as regras de rede ao definir a ação predefinida como Deny.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

Referências

• Referência de Modelo do ARM: Referência do Modelo arm do Azure Key Vault
• Comandos da CLI do Azure: az keyvault network-rule
• Azure PowerShell cmdlets: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Passos seguintes

• Pontos finais de serviço de rede virtual para Key Vault
• Descrição geral da segurança do Azure Key Vault