Azure Key Vault 的虛擬網路服務端點
Azure Key Vault 的虛擬網路服務端點可讓您將存取權限制為指定的虛擬網路。 這些端點也可讓您將存取權限制為 IPv4 清單 (網際網路通訊協定第 4 版) 上的位址範圍。 從這些資源以外連線至您金鑰保存庫的任何使用者存取會遭到拒絕。
此限制有一個重要的例外狀況。 如果使用者已加入以允許受信任的 Microsoft 服務,則來自這些服務的連線可通過防火牆。 例如,這些服務包括 Office 365 Exchange Online、Office 365 SharePoint Online、Azure 計算、Azure Resource Manager 和 Azure 備份。 這類使用者仍需要出示有效的 Microsoft Entra 權杖,而且必須具有執行所要求作業的權限 (已設定為存取原則)。 如需詳細資訊,請參閱虛擬網路服務端點。
使用方式情節
根據預設,您可以將 Key Vault 防火牆和虛擬網路設定成拒絕存取所有網路流量 (包括網際網路流量)。 您可以對來自特定 Azure 虛擬網路和公用網際網路 IP 位址範圍的流量授與存取權,讓您為應用程式建置安全的網路界限。
注意
Key Vault 防火牆和虛擬網路規則只適用於 Key Vault 的資料平面。 Key Vault 控制平面作業 (例如建立、刪除和修改作業、設定存取原則、設定防火牆和虛擬網路規則,以及透過 ARM 範本部署祕密或金鑰) 不受防火牆和虛擬網路規則影響。
以下是如何使用服務端點的一些範例:
- 您正在使用 Key Vault 來儲存加密金鑰、應用程式祕密和憑證,而且您想要封鎖從公用網際網路存取金鑰保存庫。
- 您想要鎖定對您的金鑰保存庫的存取權,使得只有您的應用程式或指定主機的簡短清單可以連線到您的金鑰保存庫。
- 您有一個在 Azure 虛擬網路中執行的應用程式,而且此虛擬網路已針對所有輸入和輸出流量鎖定。 您的應用程式仍需要連線到 Key Vault 以擷取祕密或憑證,或使用密碼編譯金鑰。
授與受信任 Azure 服務的存取權
您可以將受信任 Azure 服務的存取權授與金鑰保存庫,同時維護其他應用程式的網路規則。 這些受信任的服務接著會使用增強式驗證來安全地連線到您的金鑰保存庫。
您可以藉由設定網路設定來授與受信任 Azure 服務的存取權。 如需逐步指引,請參閱本文的網路設定選項。
將存取權授與受信任的 Azure 服務時,您會授與下列類型的存取權:
- 對訂用帳戶中註冊的資源選取作業的信任存取。
- 根據受控識別對資源的信任存取。
- 使用同盟識別認證跨租用戶的信任存取
信任的服務
以下是已啟用 [允許信任的服務] 選項的情況下,允許存取金鑰保存庫的信任服務清單。
| 信任的服務 | 支援的使用方式情節 |
|---|---|
| Azure API 管理 | 使用 MSI 從 Key Vault 部署自訂網域的憑證 |
| Azure App Service | App Service 僅當透過 Key Vault 部署 Azure Web 應用程式憑證 (英文) 時才會受到信任;針對個別應用程式本身,可在 Key Vault 的 IP 型規則中新增輸出 IP |
| Azure 應用程式閘道 | 針對支援 HTTPS 的接聽程式使用 Key Vault 憑證 |
| Azure 備份 | 使用 Azure 備份,在 Azure 虛擬機器備份期間,允許相關金鑰和祕密的備份和還原。 |
| Azure Batch | 為 Batch 帳戶設定客戶自控金鑰和 使用者訂用帳戶 Batch 帳戶的 Key Vault |
| Azure Bot Service | 待用資料的 Azure AI Bot Service 加密 |
| Azure CDN | 在 Azure CDN 自訂網域上設定 HTTPS:將金鑰保存庫的存取權授與 Azure CDN |
| Azure Container Registry | 使用客戶自控金鑰進行登錄加密 |
| Azure Data Factory | 從 Data Factory 擷取 Key Vault 中的資料存放區認證 |
| Azure Data Lake Store | 使用客戶管理的金鑰在 Azure Data Lake Store 中加密資料。 |
| 適用於 MySQL 的 Azure 資料庫單一伺服器 | 適用於 MySQL 的 Azure 資料庫單一伺服器的資料加密 |
| 適用於 MySQL 的 Azure 資料庫彈性伺服器 | 適用於 MySQL 的 Azure 資料庫彈性伺服器的資料加密 |
| 適用於 PostgreSQL 的 Azure 資料庫單一伺服器 | 適用於 PostgreSQL 的 Azure 資料庫單一伺服器的資料加密 |
| 適用於 PostgreSQL 的 Azure 資料庫彈性伺服器 | 適用於 PostgreSQL 的 Azure 資料庫彈性伺服器的資料加密 |
| Azure Databricks | 快速、簡單且可共同作業的 Apache Spark 型分析服務 |
| Azure Disk Encryption 磁碟區加密服務 | 允許在虛擬機器部署期間,存取 BitLocker 金鑰 (Windows VM) 或 DM 複雜密碼 (Linux VM) 和金鑰加密金鑰。 這可啟用 Azure 磁碟加密。 |
| Azure 磁碟儲存體 | 使用磁碟加密集 (DES) 進行設定時。 如需詳細資訊,請參閱使用客戶自控金鑰的 Azure 磁碟儲存體伺服器端加密。 |
| Azure 事件中樞 | 針對客戶自控金鑰案例允許存取金鑰保存庫 |
| Azure ExpressRoute | 搭配 ExpressRoute Direct 使用 MACsec 時 |
| Azure 防火牆進階 | Azure 防火牆進階版憑證 |
| Azure Front Door 傳統 | 針對 HTTPS 使用 Key Valut 憑證 |
| Azure Front Door 標準/進階 | 針對 HTTPS 使用 Key Valut 憑證 |
| Azure 匯入/匯出 | 在 Azure Key Vault 中針對匯入/匯出服務使用客戶自控金鑰 |
| Azure 資訊保護 | 允許存取 Azure 資訊保護的租用戶金鑰 |
| Azure Machine Learning | 保護虛擬網路中的 Azure Machine Learning |
| Azure 原則 掃描 | 秘密的控制平面原則,儲存在數據平面中的密鑰 |
| Azure Resource Manager 範本部署服務 | 在部署期間傳遞安全值。 |
| Azure 服務匯流排 | 針對客戶自控金鑰案例允許存取金鑰保存庫 |
| Azure SQL Database | Azure SQL Database 和 Azure Synapse Analytics 具有「攜帶您自己的金鑰」支援的透明資料加密。 |
| Azure 儲存體 | 使用 Azure Key Vault 中客戶管理的金鑰進行儲存體服務加密。 |
| Azure Synapse Analytics | 在 Azure Key Vault 中使用客戶自控金鑰的資料加密 |
| Azure 虛擬機器部署服務 | Deploy Certificates to VMs from customer-managed Key Vault (將憑證從客戶管理的 Key Vault 部署到 VM)。 |
| Exchange Online、SharePoint Online、M365DataAtRestEncryption | 允許使用客戶金鑰存取待用資料加密的客戶受控金鑰。 |
| Microsoft Purview | Microsoft Purview 中使用來源驗證的認證 |
注意
您必須將相關 Key Vault RBAC 角色指派或存取原則 (舊版) 設定為允許對應的服務取得 Key Vault 的存取權。
下一步
- 如需逐步指示,請參閱設定 Azure Key Vault 防火牆和虛擬網路
- 請參閱 Azure Key Vault 安全性概觀