設定 Azure Key Vault 防火牆和虛擬網路

本檔將詳細討論 Azure Key Vault 防火牆的不同設定。 若要遵循如何設定這些設定的逐步指示，請參閱設定 Azure Key Vault 網路設定。

如需詳細資訊，請參閱 Azure Key Vault 的虛擬網路服務端點。

防火牆設定

本節將說明可設定 Azure Key Vault 防火牆的不同方式。

停用 Key Vault 防火牆 (預設)

根據預設，當您建立新的金鑰保存庫時，Azure Key Vault 防火牆將會停用。 所有應用程式和 Azure 服務都可以存取金鑰保存庫，並傳送要求至金鑰保存庫。 這項設定並不表示任何使用者都能對您的金鑰保存庫執行作業。 金鑰保存庫仍會透過要求 Microsoft Entra 驗證和存取原則權限，來限制存取金鑰保存庫中的祕密、金鑰和憑證。 若要更詳細地瞭解金鑰保存庫驗證，請參閱 Azure Key Vault 中的 驗證。 如需詳細資訊，請參閱存取防火牆後方的 Azure Key Vault。

啟用 Key Vault 防火牆 (僅限受信任服務)

當您啟用 Key Vault 防火牆時，將會有 [允許受信任的 Microsoft 服務略過此防火牆] 的選項。 信任的服務清單不包含每個單一 Azure 服務。 例如，Azure DevOps 就不在受信任服務清單中。 這並不表示信任的服務清單中未列出的服務不受信任或不安全。 受信任服務清單包含的服務，皆是由 Microsoft 控制所有在服務中執行的程式碼。 由於使用者可在 Azure 服務 (例如 Azure DevOps) 中撰寫自訂程式碼，因此 Microsoft 不會提供為服務建立總括核准的選項。 此外，就算某個服務出現在受信任服務清單中，也不表示該服務允許用於所有案例。

若要判斷您嘗試使用的服務是否位於受信任的服務清單中，請參閱 Azure Key Vault 的虛擬網路服務端點。 如需操作指南，請依照此處適用於入口網站、Azure CLI 和 PowerShell 的指示

啟用 Key Vault 防火牆 (IPv4 位址和範圍 - 靜態 IP)

如果您想要授權特定服務透過 Key Vault 防火牆存取金鑰保存庫，您可以將其 IP 位址新增至金鑰保存庫防火牆的允許清單中。 此設定最適合使用靜態 IP 位址或已知範圍的服務。 在此情況下，會有 1000 CIDR 範圍的限制。

若要允許某個 Azure 資源 (例如 Web 應用程式或邏輯應用程式) 的 IP 位址或範圍，請執行下列步驟。

1. 登入 Azure 入口網站。
2. 選取資源 (服務的特定執行個體)。
3. 在 [設定]下，選取 [屬性]。
4. 尋找 [IP 位址] 欄位。
5. 複製此值或範圍，並將其輸入金鑰保存庫防火牆允許清單中。

若要允許整個 Azure 服務通過 Key Vault 防火牆，請在這裡使用針對 Azure 公開記載的資料中心 IP 位址清單。 在您想要的區域中，尋找與您要使用的服務相關聯的 IP 位址，並將這些 IP 位址新增至金鑰保存庫防火牆。

啟用 Key Vault 防火牆 (虛擬網路 - 動態 IP)

如果您嘗試允許虛擬機器之類的 Azure 資源存取金鑰保存庫，您可能無法使用靜態 IP 位址，且您可能不想要讓 Azure 虛擬機器的所有 IP 位址都能存取金鑰保存庫。

在此情況下，您應該在虛擬網路內建立該資源，然後允許特定虛擬網路和子網路的流量存取您的金鑰保存庫。

1. 登入 Azure 入口網站。
2. 選取您要設定的金鑰保存庫。
3. 選取 [網路] 刀鋒視窗。
4. 選取 [+ 新增現有的虛擬網路]。
5. 選取要允許透過金鑰保存庫防火牆的虛擬網路和子網路。

啟用 Key Vault 防火牆 (Private Link)

若要了解如何在金鑰保存庫上設定私人連結連線，請參閱這裡的文件。

重要

防火牆規則生效後，使用者只能在其要求源自允許的虛擬網路或 IPV4 位址範圍時，才可以執行 Key Vault 資料平面作業。 這也適用於從 Azure 入口網站存取 Key Vault。 儘管使用者可以從 Azure 入口網站瀏覽至金鑰保存庫，若他們的用戶端機器不在允許清單中，就可能無法列出金鑰、祕密或憑證。 這也會影響其他 Azure 服務所使用的 [金鑰保存庫選擇器]。 使用者可以看到金鑰保存庫清單，但是如果防火牆規則阻止其用戶端電腦，就不會列出金鑰。

注意

請留意下列設定限制：

• 最多允許 200 條虛擬網路規則和 1000 條 IPv4 規則。
• 僅允許將 IP 網路規則用於公用 IP 位址。 IP 規則中不允許保留私人網路的 IP 位址範圍 (如 RFC 1918 中所定義)。 私人網路包括以 10.、172.16-31 和 192.168. 開頭的位址。
• 目前僅支援 IPv4 位址。

停用公用存取 (僅限私人端點)

若要增強網路安全性，您可以設定保存庫以停用公用存取。 這會拒絕所有公用設定，並只允許透過私人端點進行連線。

參考資料

• ARM 範本參考：Azure Key Vault ARM 範本參考
• Azure CLI 命令：az keyvault network-rule
• Azure PowerShell Cmdlet：Get-AzKeyVault、Add-AzKeyVaultNetworkRule、Remove-AzKeyVaultNetworkRule、Update-AzKeyVaultNetworkRuleSet

下一步

• Key Vault 的虛擬網路服務端點
• Azure Key Vault 安全性概觀