Pontos finais de serviço de rede virtual para o Azure Key Vault

  • Artigo

Os pontos de extremidade do serviço de rede virtual para o Cofre da Chave do Azure permitem restringir o acesso a uma rede virtual especificada. Os pontos de extremidade também permitem restringir o acesso a uma lista de intervalos de endereços IPv4 (protocolo Internet versão 4). Qualquer usuário que se conecte ao seu cofre de chaves de fora dessas fontes tem acesso negado.

Existe uma importante exceção a esta restrição. Se um usuário tiver optado por permitir serviços confiáveis da Microsoft, as conexões desses serviços serão permitidas através do firewall. Por exemplo, esses serviços incluem o Office 365 Exchange Online, o Office 365 SharePoint Online, a computação do Azure, o Gerenciador de Recursos do Azure e o Backup do Azure. Esses usuários ainda precisam apresentar um token válido do Microsoft Entra e devem ter permissões (configuradas como políticas de acesso) para executar a operação solicitada. Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual.

Cenários de utilização

Você pode configurar firewalls do Cofre da Chave e redes virtuais para negar acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) por padrão. Você pode conceder acesso ao tráfego de redes virtuais específicas do Azure e intervalos de endereços IP da Internet pública, permitindo que você crie um limite de rede seguro para seus aplicativos.

Nota

Os firewalls do Key Vault e as regras de rede virtual só se aplicam ao plano de dados do Key Vault. As operações do plano de controle do Cofre de Chaves (como criar, excluir e modificar operações, definir políticas de acesso, definir firewalls e regras de rede virtual e implantação de segredos ou chaves por meio de modelos ARM) não são afetadas por firewalls e regras de rede virtual.

Aqui estão alguns exemplos de como você pode usar pontos de extremidade de serviço:

  • Você está usando o Cofre da Chave para armazenar chaves de criptografia, segredos de aplicativos e certificados, e deseja bloquear o acesso ao cofre de chaves da Internet pública.
  • Você deseja bloquear o acesso ao cofre de chaves para que apenas seu aplicativo, ou uma pequena lista de hosts designados, possa se conectar ao cofre de chaves.
  • Você tem um aplicativo em execução em sua rede virtual do Azure e essa rede virtual está bloqueada para todo o tráfego de entrada e saída. Seu aplicativo ainda precisa se conectar ao Cofre da Chave para buscar segredos ou certificados, ou usar chaves criptográficas.

Conceder acesso a serviços confiáveis do Azure

Você pode conceder acesso a serviços confiáveis do Azure ao cofre de chaves, mantendo regras de rede para outros aplicativos. Esses serviços confiáveis usarão autenticação forte para se conectar com segurança ao seu cofre de chaves.

Você pode conceder acesso a serviços confiáveis do Azure definindo as configurações de rede. Para obter orientação passo a passo, consulte as opções de configuração de rede deste artigo.

Ao conceder acesso a serviços confiáveis do Azure, você concede os seguintes tipos de acesso:

  • Acesso fidedigno para operações selecionadas a recursos registados na sua subscrição.
  • Acesso confiável a recursos com base em uma identidade gerenciada.
  • Acesso confiável entre locatários usando uma Credencial de Identidade Federada

Serviços confiáveis

Aqui está uma lista de serviços confiáveis que têm permissão para acessar um cofre de chaves se a opção Permitir serviços confiáveis estiver habilitada.

Serviço de confiança Cenários de utilização suportados
API Management do Azure Implantar certificados para domínio personalizado a partir do Cofre da Chave usando MSI
Serviço de Aplicações do Azure O Serviço de Aplicativo é confiável apenas para Implantar o Certificado do Aplicativo Web do Azure por meio do Cofre da Chave, para o próprio aplicativo individual, os IPs de saída podem ser adicionados nas regras baseadas em IP do Cofre da Chave
Gateway de Aplicação do Azure Usando certificados do Cofre de Chaves para ouvintes habilitados para HTTPS
Azure Backup Permita o backup e a restauração de chaves e segredos relevantes durante o backup de Máquinas Virtuais do Azure, usando o Backup do Azure.
Azure Batch Configurar chaves gerenciadas pelo cliente para contas em lote e Cofre de chaves para contas de lote de assinatura de usuário
Azure Bot Service Criptografia do Serviço de Bot do Azure AI para dados em repouso
CDN do Azure Configurar HTTPS em um domínio personalizado da CDN do Azure: conceda acesso da CDN do Azure ao seu cofre de chaves
Registo de Contentores do Azure Criptografia do registro usando chaves gerenciadas pelo cliente
Azure Data Factory Buscar credenciais de armazenamento de dados no Cofre de Chaves do Data Factory
Azure Data Lake Store Criptografia de dados no Repositório Azure Data Lake com uma chave gerenciada pelo cliente.
Banco de Dados do Azure para servidor único MySQL Criptografia de dados para o Banco de Dados do Azure para MySQL Servidor único
Banco de Dados do Azure para servidor MySQL Flexível Criptografia de dados para o Banco de Dados do Azure para servidor MySQL Flexível
Banco de Dados do Azure para PostgreSQL Servidor único Criptografia de dados para o Banco de Dados do Azure para PostgreSQL Servidor único
Banco de Dados do Azure para servidor flexível PostgreSQL Criptografia de dados para o Banco de Dados do Azure para servidor flexível PostgreSQL
Azure Databricks Serviço de análise rápido, fácil e colaborativo baseado no Apache Spark
Serviço de criptografia de volume do Azure Disk Encryption Permita o acesso à Chave BitLocker (VM do Windows) ou à Senha DM (VM Linux) e à Chave de Criptografia de Chave, durante a implantação da máquina virtual. Isso habilita a Criptografia de Disco do Azure.
Armazenamento de Discos do Azure Quando configurado com um conjunto de criptografia de disco (DES). Para obter mais informações, consulte Criptografia do lado do servidor do Armazenamento em Disco do Azure usando chaves gerenciadas pelo cliente.
Hubs de Eventos do Azure Permitir acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente
Azure ExpressRoute Ao usar MACsec com o ExpressRoute Direct
Azure Firewall Premium Certificados Premium do Firewall do Azure
Azure Front Door Classic Usando certificados do Cofre de Chaves para HTTPS
Azure Front Door Standard/Premium Usando certificados do Cofre de Chaves para HTTPS
Importar/Exportar do Microsoft Azure Usar chaves gerenciadas pelo cliente no Azure Key Vault para serviço de Importação/Exportação
Azure Information Protection Permitir acesso à chave de locatário para a Proteção de Informações do Azure.
Azure Machine Learning Proteger o Azure Machine Learning em uma rede virtual
Azure Policy Scan Políticas de plano de controle para segredos, chaves armazenadas no plano de dados
Serviço de implantação de modelo do Azure Resource Manager Passe valores seguros durante a implantação.
Azure Service Bus Permitir acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente
Base de Dados SQL do Azure Criptografia de dados transparente com suporte a Bring Your Own Key para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.
Armazenamento do Azure Criptografia do Serviço de Armazenamento usando chaves gerenciadas pelo cliente no Cofre de Chaves do Azure.
Azure Synapse Analytics Criptografia de dados usando chaves gerenciadas pelo cliente no Cofre de Chaves do Azure
Serviço de implantação de Máquinas Virtuais do Azure Implante certificados em VMs a partir do Cofre de Chaves gerenciado pelo cliente.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Permita o acesso a chaves gerenciadas pelo cliente para criptografia de dados em repouso com chave do cliente.
Microsoft Purview Usando credenciais para autenticação de origem no Microsoft Purview

Nota

Você deve configurar as atribuições de função RBAC do Cofre da Chave relevantes ou as políticas de acesso (legado) para permitir que os serviços correspondentes tenham acesso ao Cofre da Chave.

Próximos passos