Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Конечные точки службы виртуальной сети для Azure Key Vault позволяют ограничить доступ к указанной виртуальной сети. Также эти конечные точки позволяют ограничить доступ определенным набором диапазонов адресов IPv4 (протокол IP версии 4). Для любого пользователя, подключающегося к хранилищу ключей из вне этих источников, доступ будет запрещен.
Из этого ограничения есть одно важное исключение. Если вы разрешите доверенным службам Microsoft, некоторые службы Microsoft смогут обходить брандмауэр и получать доступ к хранилищу. В разделе Доверенные службы далее в этой статье перечислены службы, которые в настоящее время обходят брандмауэр; службам, отсутствующим в этой таблице, требуется правило IP-адреса для брандмауэра, правило виртуальной сети или закрытая конечная точка для доступа к хранилищу. Службы, которые обходят брандмауэр, по-прежнему должны предъявлять действительный токен Microsoft Entra и иметь разрешения (настроенные в виде назначений ролей Azure RBAC или политик доступа) для выполнения запрошенной операции. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.
Сценарии использования
По умолчанию можно настроить брандмауэры и виртуальные сети Key Vault запретить доступ ко всем сетям (включая интернет-трафик). Вы можете предоставить доступ к трафику из определенных Azure виртуальных сетей и диапазонов общедоступных IP-адресов Интернета, что позволяет создавать безопасную сетевую границу для приложений.
Примечание.
Брандмауэры и правила виртуальной сети Key Vault применяются только к плоскости данных Key Vault. Key Vault операции уровня управления (например, создание, удаление и изменение операций, установка политик доступа, параметры брандмауэров и правила виртуальной сети и развертывание секретов или ключей с помощью шаблонов ARM) не влияют на брандмауэры и правила виртуальной сети.
Ниже приведены некоторые примеры использования конечных точек службы.
- Вы используете Key Vault для хранения ключей шифрования, секретов приложений и сертификатов, а также для блокировки доступа к key vault из общедоступного Интернета.
- Если вы хотите ограничить доступ к хранилищу ключей, чтобы к нему могли подключаться только ваше приложение или небольшой список назначенных хостов.
- У вас есть приложение, работающее в Azure виртуальной сети, и эта виртуальная сеть заблокирована для всего входящего и исходящего трафика. Приложение по-прежнему должно подключаться к Key Vault для получения секретов или сертификатов или использования криптографических ключей.
Предоставление доступа к доверенным службам Azure
Вы можете предоставить доступ к доверенным Azure службам в хранилище ключей, сохраняя правила сети для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для безопасного подключения к хранилищу ключей.
Вы можете предоставить доступ к доверенным службам Azure, настроив параметры сети. Пошаговые инструкции см. в статье Configure network security for Azure Key Vault.
Когда вы предоставляете доступ к доверенным службам Azure, вы предоставляете следующие типы доступа:
- Доверенный доступ для некоторых операций к ресурсам, зарегистрированным в вашей подписке.
- Доверенный доступ к ресурсам, основанный на управляемом удостоверении.
- Доверенный доступ между клиентами с помощью учетных данных федеративного удостоверения
Если параметр Разрешить доверенным службам Microsoft обходить этот брандмауэр включен, службы, перечисленные в таблице Доверенные службы, могут получить доступ к хранилищу. Обход продолжает применяться при отключении общедоступного доступа, поэтому перечисленные службы не требуют подключения частной конечной точки. Если для общедоступного сетевого доступа задано значение Защищено периметром (через связывание с периметром сетевой безопасности), параметр обхода перестает действовать, и даже доверенные службы будут блокироваться, если только явное правило доступа к периметру не допускает их.
Доверенные службы
В следующей таблице перечислены службы Microsoft, которые, как известно, могут обходить брандмауэр Key Vault, когда включен параметр Разрешить доверенные службы. Эта таблица отражает службы, известные во время публикации; Недавно подключенные службы могут еще не появиться здесь.
| Доверенная служба | Поддерживаемые сценарии использования |
|---|---|
| Управление API Azure | Развертывание сертификатов для пользовательского домена из Key Vault с помощью MSI |
| Служба приложений Azure | Служба приложений доверена только для развертывания сертификата веб-приложения Azure через Key Vault; для самого приложения можно добавить исходящие IP-адреса в правила Key Vault, основанные на IP. |
| Шлюз приложений Azure | Использование сертификатов Key Vault для прослушивателей с поддержкой HTTPS |
| Azure Backup | Разрешить резервное копирование и восстановление соответствующих ключей и секретов во время резервного копирования Виртуальные машины Azure с помощью Azure Backup. |
| пакетная служба Azure | Настройка ключей, управляемых клиентом, для учетных записей Batch и Key Vault для учетных записей Batch в подписке пользователя |
| Azure Служба Bot | Шифрование данных в состоянии покоя в Служба ботов ИИ Azure |
| Azure CDN | Настройка протокола HTTPS в пользовательском домене Azure CDN: предоставьте Azure CDN доступ к хранилищу ключей Azure |
| Реестр контейнеров Azure | Шифрование реестра с использованием управляемых клиентом ключей. |
| Фабрика данных Azure | Получить учетные данные хранилища в Key Vault из Data Factory |
| Магазин Azure Data Lake | Шифрование данных в хранилище Azure Data Lake с ключом, управляемым клиентом. |
| Менеджер данных Azure для сельского хозяйства | Хранение и использование собственных ключей лицензий |
| База данных Azure для MySQL отдельный сервер | Шифрование данных для базы данных Azure для MySQL в режиме одного сервера |
| Гибкий сервер База данных Azure для MySQL | Шифрование данных для сервера База данных Azure для MySQL с гибкой настройкой |
| База данных Azure для PostgreSQL отдельный сервер | Шифрование данных для односерверного База данных Azure для PostgreSQL |
| Гибкий сервер База данных Azure для PostgreSQL | Шифрование данных для гибкого сервера База данных Azure для PostgreSQL |
| Azure Databricks | Быстрая и простая служба аналитики на основе Apache Spark для совместной работы. |
| служба шифрования томов Шифрование дисков Azure | Разрешить доступ к ключу BitLocker (Windows виртуальной машине) или парольной фразе DM (виртуальной машине Linux) и ключу шифрования ключей во время развертывания виртуальной машины. Это включает Шифрование дисков Azure. |
| Хранилище дисков Azure | При настройке с набором шифрования дисков (DES). Дополнительные сведения см. в разделе Серверное шифрование Хранилище дисков Azure с помощью ключей, управляемых клиентом. |
| Центры событий Azure | Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами. |
| Azure ExpressRoute | При использовании MACsec с ExpressRoute Direct |
| Брандмауэр Azure категории "Премиум" | Сертификаты Брандмауэр Azure Premium |
| Azure Front Door классический | Использование сертификатов Key Vault для HTTPS |
| Azure Front Door категории "Стандартный" или "Премиум" | Использование сертификатов Key Vault для HTTPS |
| Azure Импорт/Экспорт | Использовать ключи, управляемые клиентом, в Azure Key Vault для службы импорта и экспорта |
| Azure Information Protection | Разрешить доступ к ключу клиента для Azure Information Protection. |
| Машинное обучение Azure | Secure Машинное обучение Azure в виртуальной сети |
| Azure Monitor | Log Analytics выделенный кластер доступ к хранилищу ключей для сценария с ключами, управляемыми клиентом |
| Azure NetApp Files (облачный сервис хранения файлов) | Разрешить доступ к ключам, управляемым клиентом, в Azure Key Vault |
| проверка политики Azure | Политики контрольной плоскости для секретов и ключей, хранящихся в плоскости данных |
| служба развертывания шаблонов Azure Resource Manager | Передача защищенных значений в процессе развертывания. |
| Служебная шина Azure | Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами. |
| База данных SQL Azure | прозрачное шифрование данных с поддержкой собственных ключей для База данных SQL Azure и Azure Synapse Analytics. |
| служба хранилища Azure | Шифрование службы хранения с ключами, управляемыми клиентом, в Azure Key Vault. |
| Azure Synapse Analytics | Шифрование данных с помощью управляемых клиентом ключей в Azure Key Vault |
| служба развертывания Виртуальные машины Azure | Развернуть сертификаты на виртуальные машины из хранилища ключей, управляемого клиентом. |
| Exchange Online, SharePoint Online, M365DataAtRestEncryption | Разрешение доступа к ключам, управляемым клиентом, для шифрования неактивных данных с помощью ключа клиента. |
| Microsoft PowerPlatform | Шифрование данных в Power Platform с помощью ключей, управляемых клиентом. |
| Microsoft Purview. | Использование учетных данных для аутентификации источника в Microsoft Purview |
Примечание.
Необходимо настроить соответствующий Azure RBAC для назначения ролей для Key Vault или политик доступа (устаревших), чтобы соответствующие службы могли получить доступ к Key Vault.
Следующие шаги
- Пошаговые инструкции см. в разделе Configure network security for Azure Key Vault.
- Рекомендации по обеспечению безопасности см. в разделе Secure Azure Key Vault.