Поделиться через


Конечные точки службы для виртуальной сети для Azure Key Vault

Конечные точки служб для виртуальной сети для Azure Key Vault позволяют ограничить доступ к определенной виртуальной сети. Также эти конечные точки позволяют ограничить доступ определенным набором диапазонов адресов IPv4 (протокол IP версии 4). Для любого пользователя при попытке подключения к хранилищу ключей из любых других расположений доступ будет отклонен.

Из этого ограничения есть одно важное исключение. Если пользователь разрешил доступ доверенным службам Майкрософт, брандмауэр будет пропускать подключения из этих служб. К таким службам относятся, к примеру, Office 365 Exchange Online, Office 365 SharePoint Online, служба вычислений Azure, Azure Resource Manager и Azure Backup. Такие пользователи по-прежнему должны представить действительный маркер Microsoft Entra и иметь разрешения (настроенные в качестве политик доступа) для выполнения запрошенной операции. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.

Сценарии использования

Брандмауэры и виртуальные сети Key Vault можно настроить так, чтобы по умолчанию запрещать трафик из всех сетей (в том числе из Интернета). Вы можете разрешить доступ для трафика из конкретных виртуальных сетей Azure или диапазонов общедоступных IP-адресов, что позволит определить границу защищенной сети для приложений.

Примечание.

Правила брандмауэра и виртуальной сети Key Vault применяются только к плоскости данных в Key Vault. Правила брандмауэра и виртуальной сети не влияют на операции плоскости управления Key Vault (создание, удаление, изменение, настройка политик доступа, настройка правил брандмауэров и виртуальной сети и развертывание секретов или ключей с помощью шаблонов ARM).

Ниже приведены некоторые примеры использования конечных точек службы.

  • Если Key Vault используется для хранения ключей шифрования, секретов приложения и сертификатов, доступ к которым из общедоступного Интернета вы хотите запретить.
  • Если вы хотите заблокировать доступ к хранилищу ключей, чтобы к нему могли подключаться только одно приложение или небольшой набор назначенных узлов.
  • Если у вас есть приложение, работающее в виртуальной сети Azure, для которой заблокирован любой исходящий и входящий трафик, но приложению требуется подключение к хранилищу ключей для получения секретов, сертификатов или криптографических ключей.

Предоставить доступ к доверенным службам Azure

Вы можете предоставить доступ к доверенным службам Azure в хранилище ключей, сохраняя правила сети для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для безопасного подключения к хранилищу ключей.

Вы можете предоставить доступ к доверенным службам Azure, настроив параметры сети. Пошаговые инструкции см. в параметрах конфигурации сети этой статьи.

При предоставлении доступа к доверенным службам Azure вы предоставляете следующие типы доступа:

  • Доверенный доступ для некоторых операций к ресурсам, зарегистрированным в вашей подписке.
  • Доверенный доступ к ресурсам на основе управляемого удостоверения.
  • Доверенный доступ между клиентами с помощью учетных данных федеративного удостоверения

Доверенные службы

Ниже приведен список доверенных служб, которые получают доступ к хранилищу ключей, если включен соответствующий параметр.

Доверенная служба Поддерживаемые сценарии использования
Управление API Azure Развертывание сертификатов для Custom Domain из Key Vault с помощью MSI.
Служба приложений Azure Служба приложений является доверенной только для развертывания сертификата Azure Web App с помощью Key Vault. Для отдельного приложения исходящие IP-адреса можно добавить в правила на основе IP-адресов Key Vault.
Шлюз приложений Azure Использование сертификатов Key Vault для прослушивателей с поддержкой HTTPS.
Azure Backup Разрешение резервного копирования и восстановления соответствующих ключей и секретов во время резервного копирования виртуальной машины Azure с помощью службы Azure Backup.
Пакетная служба Azure Настройка управляемых клиентом ключей для учетных записей пакетной службы и Key Vault для учетных записей пакетной службы подписки пользователей
Служба Azure Bot Шифрование Служба Bot ИИ Azure для неактивных данных
Azure CDN Настройка HTTPS в личном домене Azure CDN: предоставление Azure CDN доступа к хранилищу ключей
Реестр контейнеров Azure Шифрование реестра с использованием управляемых клиентом ключей.
Azure Data Factory Получение учетных данных хранилища данных в Key Vault из Фабрики данных.
Azure Data Lake Store Шифрование данных в Azure Data Lake Storage с помощью управляемого пользователем ключа.
Диспетчер данных Azure для сельского хозяйства Хранение и использование собственных ключей лицензий
База данных Azure для MySQL отдельный сервер Шифрование данных для одного сервера База данных Azure для MySQL
Гибкий сервер База данных Azure для MySQL Шифрование данных для гибкого сервера База данных Azure для MySQL
Отдельный сервер Базы данных Azure для PostgreSQL Шифрование данных для отдельного сервера Базы данных Azure для PostgreSQL
Гибкий сервер База данных Azure для PostgreSQL Шифрование данных для гибкого сервера База данных Azure для PostgreSQL
Azure Databricks Быстрая и простая служба аналитики на основе Apache Spark для совместной работы.
Служба шифрования томов для шифрования дисков Azure Разрешение доступа к ключу BitLocker (виртуальная машина Windows), парольной фразе DM (виртуальная машина Linux) и ключу шифрования ключей во время развертывания виртуальной машины. Это позволяет включить шифрование дисков Azure.
Хранилище дисков Azure При настройке с набором шифрования дисков (DES). Дополнительные сведения см. в статье Шифрование Хранилища дисков Azure на стороне сервера с помощью ключей, управляемых клиентом.
Центры событий Azure Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами.
Azure ExpressRoute При использовании MACsec с ExpressRoute Direct
Брандмауэр Azure категории "Премиум" сертификаты Брандмауэр Azure Premium
Azure Front Door (классическая версия) Использование сертификатов Key Vault для HTTPS
Azure Front Door категории "Стандартный" или "Премиум" Использование сертификатов Key Vault для HTTPS
Импорт и экспорт Microsoft Azure Использование ключей, управляемых клиентом, в Azure Key Vault для службы импорта и экспорта
Azure Information Protection Разрешение доступа к ключу клиента для Azure Information Protection.
Машинное обучение Azure Защита Студии машинного обучения Azure в виртуальной сети Azure
Azure NetApp Files Разрешить доступ к ключам, управляемым клиентом, в Azure Key Vault
сканирование Политика Azure Политики уровня управления для секретов, ключей, хранящихся в плоскости данных
Служба развертывания шаблонов Azure Resource Manager Передача защищенных значений в процессе развертывания.
Служебная шина Azure Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами.
База данных SQL Azure Прозрачное шифрование данных с поддержкой использования собственных ключей для Базы данных SQL Azure и Azure Synapse Analytics.
Хранилище Azure Шифрование службы хранилища с помощью управляемых пользователем ключей в Azure Key Vault.
Azure Synapse Analytics Шифрование данных с помощью управляемых пользователем ключей в Azure Key Vault.
Служба развертывания виртуальных машин Azure Развертывание сертификатов на виртуальных машинах из хранилища ключей, управляемого пользователем
Exchange Online, SharePoint Online, M365DataAtRestEncryption Разрешение доступа к ключам, управляемым клиентом, для шифрования неактивных данных с помощью ключа клиента.
Microsoft Purview Учетные данные для проверки подлинности источника в Microsoft Purview

Примечание.

Необходимо настроить соответствующие назначения ролей RBAC Key Vault или политики доступа(устаревшие), чтобы разрешить соответствующим службам доступ к Key Vault.

Следующие шаги