Tjänstslutpunkter för virtuellt nätverk för Azure Key Vault

Med tjänstslutpunkter för virtuellt nätverk Azure Key Vault du begränsa åtkomsten till ett angivet virtuellt nätverk. Med slutpunkterna kan du också begränsa åtkomsten till en lista över IPv4-adressintervall (Internet Protocol version 4). Alla användare som ansluter till ditt nyckelvalv utanför dessa källor nekas åtkomst.

Det finns ett viktigt undantag till den här begränsningen. Om en användare har valt att tillåta betrodda Microsoft-tjänster tillåts anslutningar från dessa tjänster genom brandväggen. Dessa tjänster omfattar till exempel Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager och Azure Backup. Sådana användare måste fortfarande presentera en giltig Azure Active Directory-token och måste ha behörigheter (konfigurerade som åtkomstprinciper) för att utföra den begärda åtgärden. Mer information finns i Tjänstslutpunkter för virtuellt nätverk.

Användningsscenarier

Du kan konfigurera Key Vault brandväggar och virtuella nätverk för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) som standard. Du kan bevilja åtkomst till trafik från specifika virtuella Azure-nätverk och offentliga IP-adressintervall för Internet, så att du kan skapa en säker nätverksgräns för dina program.

Anteckning

Key Vault brandväggar och regler för virtuella nätverk gäller endast för dataplanet i Key Vault. Key Vault åtgärder på kontrollplanet (till exempel skapa, ta bort och ändra åtgärder, ställa in åtkomstprinciper, ange brandväggar och regler för virtuellt nätverk och distribution av hemligheter eller nycklar via ARM-mallar) påverkas inte av brandväggar och regler för virtuellt nätverk.

Här följer några exempel på hur du kan använda tjänstslutpunkter:

  • Du använder Key Vault för att lagra krypteringsnycklar, programhemligheter och certifikat och du vill blockera åtkomsten till ditt nyckelvalv från det offentliga Internet.
  • Du vill låsa åtkomsten till ditt nyckelvalv så att endast ditt program, eller en kort lista över angivna värdar, kan ansluta till ditt nyckelvalv.
  • Du har ett program som körs i ditt virtuella Azure-nätverk och det här virtuella nätverket är låst för all inkommande och utgående trafik. Programmet måste fortfarande ansluta till Key Vault för att hämta hemligheter eller certifikat eller använda kryptografiska nycklar.

Betrodda tjänster

Här är en lista över betrodda tjänster som har behörighet att komma åt ett nyckelvalv om alternativet Tillåt betrodda tjänster är aktiverat.

Betrodd tjänst Användningsscenarier som stöds
Azure Virtual Machines distributionstjänst Distribuera certifikat till virtuella datorer från kund-hanterade Key Vault.
Azure Resource Manager för malldistribution Skicka säkra värden under distributionen.
Azure Disk Encryption volymkrypteringstjänst Tillåt åtkomst till BitLocker-nyckel (Windows VM) eller DM-lösenfras (virtuell Linux-dator) och nyckelkrypteringsnyckel under distributionen av virtuella datorer. Detta aktiverar Azure Disk Encryption.
Azure Backup Tillåt säkerhetskopiering och återställning av relevanta nycklar och hemligheter under säkerhetskopiering Virtual Machines Azure med hjälp av Azure Backup.
Exchange Online & SharePoint Online Tillåt åtkomst till kundnyckel för Azure Storage-tjänstkryptering med kundnyckel.
Azure Information Protection Tillåt åtkomst till klientnyckel för Azure Information Protection.
Azure App Service App Service endast är betrodd för att distribuera Azure Web AppCertificate via Key Vault , för själva enskilda appar kan utgående IP-adresser läggas till i Key Vault:s IP-baserade regler
Azure SQL Database transparent datakryptering med Bring Your Own Key stöd för Azure SQL Database och Azure Synapse Analytics.
Azure Storage Storage Service Encryption med kund hanterade nycklar i Azure Key Vault.
Azure Data Lake Store Kryptering av data i Azure Data Lake Store med en kund hanterad nyckel.
Azure Synapse Analytics Kryptering av data med kund hanterade nycklar i Azure Key Vault
Azure Databricks Snabb, enkel och Apache Spark en molnbaserad analystjänst
Azure API Management Distribuera certifikat för Custom Domain från Key Vault med MSI
Azure Data Factory Hämta autentiseringsuppgifter för datalager i Key Vault från Data Factory
Azure Event Hubs Tillåt åtkomst till ett nyckelvalv för kund hanterade nycklar
Azure Service Bus Tillåt åtkomst till ett nyckelvalv för kund hanterade nycklar
Azure Import/Export Använda kund hanterade nycklar i Azure Key Vault för Import/Export tjänsten
Azure Container Registry Registerkryptering med kund hanterade nycklar
Azure Application Gateway Använda Key Vault för HTTPS-aktiverade lyssnare
Azure Front Door Använda Key Vault certifikat för HTTPS

Anteckning

Du måste konfigurera relevanta principer Key Vault åtkomstprinciper så att motsvarande tjänster får åtkomst till Key Vault.

Nästa steg