Configurare le impostazioni di rete di Azure Key Vault

2025-04-21

Questo articolo fornisce indicazioni su come configurare le impostazioni di rete di Azure Key Vault per l'uso con altre applicazioni e servizi di Azure. Per informazioni dettagliate sulle diverse configurazioni di sicurezza di rete, vedere qui.

Ecco le istruzioni dettagliate per configurare il firewall e le reti virtuali di Key Vault usando il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell

Passare all'insieme di credenziali delle chiavi che si vuole proteggere.
Selezionare Rete e quindi selezionare la scheda Firewall e reti virtuali.
Selezionare Reti selezionate in Consenti l'accesso da.
Per aggiungere reti virtuali esistenti ai firewall e alle regole di rete virtuale, selezionare + Aggiungi reti virtuali esistenti.
Nel nuovo pannello che si apre selezionare la sottoscrizione, le reti virtuali e le subnet a cui consentire l'accesso all'insieme di credenziali delle chiavi. Se per le reti virtuali e le subnet selezionate non sono abilitati endpoint di servizio, confermare di voler abilitare gli endpoint di servizio e selezionare Abilita. La modifica può richiedere fino a 15 minuti per diventare operativa.
In Reti IP aggiungere intervalli di indirizzi IPv4 digitando intervalli di indirizzi IPv4 nella notazione CIDR (Classless Inter-domain Routing) o in singoli indirizzi IP.
Se si vuole consentire ai servizi Microsoft attendibili di ignorare il firewall di Key Vault, selezionare 'Sì'. Per un elenco completo dei servizi attendibili di Key Vault correnti, vedere il collegamento seguente. Servizi attendibili di Azure Key Vault
Seleziona Salva.

È anche possibile aggiungere nuove reti virtuali e subnet e poi abilitare gli endpoint di servizio per le reti virtuali e le subnet appena create selezionando + Aggiungi nuova rete virtuale. Seguire quindi le istruzioni.

Ecco come configurare firewall e reti virtuali di Key Vault usando l'interfaccia della riga di comando di Azure

Installare l'interfaccia della riga di comando di Azure ed eseguire l'accesso.
Elencare le regole di rete virtuale disponibili. Se non è stata impostata alcuna regola per questo insieme di credenziali delle chiavi, l'elenco sarà vuoto.
```
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
```

Abilitare un endpoint di servizio per Key Vault in una rete virtuale e una subnet esistenti.

az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"

Aggiungere una regola di rete per una rete virtuale e una subnet.

subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid

Aggiungere un intervallo di indirizzi IP da cui consentire il traffico.

az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"

Se questo insieme di credenziali delle chiavi deve essere accessibile da tutti i servizi attendibili, impostare bypass su AzureServices.
```
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
```

Attivare le regole di rete impostando l'azione predefinita su Deny.

az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny

Annotazioni

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Ecco come configurare firewall e reti virtuali di Key Vault usando PowerShell:

Installare la versione più recente di Azure PowerShell e accedere.
Elencare le regole di rete virtuale disponibili. Se non sono state impostate regole per questo key vault, l'elenco sarà vuoto.
```
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
```

Abilitare l'endpoint di servizio per Key Vault in una rete virtuale e una subnet esistenti.

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork

Aggiungere una regola di rete per una rete virtuale e una subnet.

$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id

Aggiungere un intervallo di indirizzi IP da cui consentire il traffico.

Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"

Se questo deposito di chiavi deve essere accessibile da qualsiasi servizio attendibile, impostare bypass su AzureServices.
```
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
```

Attivare le regole di rete impostando l'azione predefinita su Deny.

Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny

Riferimenti

Informazioni di riferimento sui modelli di ARM: Informazioni di riferimento sui modelli di Azure Resource Manager per Azure Key Vault
Comandi dell'interfaccia della riga di comando di Azure: az keyvault network-rule
Cmdlet di Azure PowerShell: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

Condividi tramite

Configurare le impostazioni di rete di Azure Key Vault

Riferimenti

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive