Конечные точки служб для виртуальной сети для Azure Key Vault позволяют ограничить доступ к определенной виртуальной сети. Также эти конечные точки позволяют ограничить доступ определенным набором диапазонов адресов IPv4 (протокол IP версии 4). Для любого пользователя при попытке подключения к хранилищу ключей из любых других расположений доступ будет отклонен.
Из этого ограничения есть одно важное исключение. Если пользователь разрешил доступ доверенным службам Майкрософт, брандмауэр будет пропускать подключения из этих служб. К таким службам относятся, к примеру, Office 365 Exchange Online, Office 365 SharePoint Online, служба вычислений Azure, Azure Resource Manager и Azure Backup. Такие пользователи по-прежнему должны представить действительный маркер Microsoft Entra и иметь разрешения (настроенные в качестве политик доступа) для выполнения запрошенной операции. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.
Сценарии использования
Брандмауэры и виртуальные сети Key Vault можно настроить так, чтобы по умолчанию запрещать трафик из всех сетей (в том числе из Интернета). Вы можете разрешить доступ для трафика из конкретных виртуальных сетей Azure или диапазонов общедоступных IP-адресов, что позволит определить границу защищенной сети для приложений.
Примечание.
Правила брандмауэра и виртуальной сети Key Vault применяются только к плоскости данных в Key Vault. Правила брандмауэра и виртуальной сети не влияют на операции плоскости управления Key Vault (создание, удаление, изменение, настройка политик доступа, настройка правил брандмауэров и виртуальной сети и развертывание секретов или ключей с помощью шаблонов ARM).
Ниже приведены некоторые примеры использования конечных точек службы.
- Если Key Vault используется для хранения ключей шифрования, секретов приложения и сертификатов, доступ к которым из общедоступного Интернета вы хотите запретить.
- Если вы хотите заблокировать доступ к хранилищу ключей, чтобы к нему могли подключаться только одно приложение или небольшой набор назначенных узлов.
- Если у вас есть приложение, работающее в виртуальной сети Azure, для которой заблокирован любой исходящий и входящий трафик, но приложению требуется подключение к хранилищу ключей для получения секретов, сертификатов или криптографических ключей.
Предоставить доступ к доверенным службам Azure
Вы можете предоставить доступ к доверенным службам Azure в хранилище ключей, сохраняя правила сети для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для безопасного подключения к хранилищу ключей.
Вы можете предоставить доступ к доверенным службам Azure, настроив параметры сети. Пошаговые инструкции см. в параметрах конфигурации сети этой статьи.
При предоставлении доступа к доверенным службам Azure вы предоставляете следующие типы доступа:
- Доверенный доступ для некоторых операций к ресурсам, зарегистрированным в вашей подписке.
- Доверенный доступ к ресурсам на основе управляемого удостоверения.
- Доверенный доступ между клиентами с помощью учетных данных федеративного удостоверения
Доверенные службы
Ниже приведен список доверенных служб, которые получают доступ к хранилищу ключей, если включен соответствующий параметр.
| Доверенная служба |
Поддерживаемые сценарии использования |
| Управление API Azure |
Развертывание сертификатов для Custom Domain из Key Vault с помощью MSI. |
| Служба приложений Azure |
Служба приложений является доверенной только для развертывания сертификата Azure Web App с помощью Key Vault. Для отдельного приложения исходящие IP-адреса можно добавить в правила на основе IP-адресов Key Vault. |
| Шлюз приложений Azure |
Использование сертификатов Key Vault для прослушивателей с поддержкой HTTPS. |
| Azure Backup |
Разрешение резервного копирования и восстановления соответствующих ключей и секретов во время резервного копирования виртуальной машины Azure с помощью службы Azure Backup. |
| Пакетная служба Azure |
Настройка управляемых клиентом ключей для учетных записей пакетной службы и Key Vault для учетных записей пакетной службы подписки пользователей |
| Служба Azure Bot |
Шифрование Служба Bot ИИ Azure для неактивных данных |
| Azure CDN |
Настройка HTTPS в личном домене Azure CDN: предоставление Azure CDN доступа к хранилищу ключей |
| Реестр контейнеров Azure |
Шифрование реестра с использованием управляемых клиентом ключей. |
| Azure Data Factory |
Получение учетных данных хранилища данных в Key Vault из Фабрики данных. |
| Azure Data Lake Store |
Шифрование данных в Azure Data Lake Storage с помощью управляемого пользователем ключа. |
| Диспетчер данных Azure для сельского хозяйства |
Хранение и использование собственных ключей лицензий |
| База данных Azure для MySQL отдельный сервер |
Шифрование данных для одного сервера База данных Azure для MySQL |
| Гибкий сервер База данных Azure для MySQL |
Шифрование данных для гибкого сервера База данных Azure для MySQL |
| Отдельный сервер Базы данных Azure для PostgreSQL |
Шифрование данных для отдельного сервера Базы данных Azure для PostgreSQL |
| Гибкий сервер База данных Azure для PostgreSQL |
Шифрование данных для гибкого сервера База данных Azure для PostgreSQL |
| Azure Databricks |
Быстрая и простая служба аналитики на основе Apache Spark для совместной работы. |
| Служба шифрования томов для шифрования дисков Azure |
Разрешение доступа к ключу BitLocker (виртуальная машина Windows), парольной фразе DM (виртуальная машина Linux) и ключу шифрования ключей во время развертывания виртуальной машины. Это позволяет включить шифрование дисков Azure. |
| Хранилище дисков Azure |
При настройке с набором шифрования дисков (DES). Дополнительные сведения см. в статье Шифрование Хранилища дисков Azure на стороне сервера с помощью ключей, управляемых клиентом. |
| Центры событий Azure |
Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами. |
| Azure ExpressRoute |
При использовании MACsec с ExpressRoute Direct |
| Брандмауэр Azure категории "Премиум" |
сертификаты Брандмауэр Azure Premium |
| Azure Front Door «Классический» |
Использование сертификатов Key Vault для HTTPS |
| Azure Front Door «Стандартный»/«Премиум» |
Использование сертификатов Key Vault для HTTPS |
| Импорт и экспорт Microsoft Azure |
Использование ключей, управляемых клиентом, в Azure Key Vault для службы импорта и экспорта |
| Azure Information Protection |
Разрешение доступа к ключу клиента для Azure Information Protection. |
| Машинное обучение Azure |
Защита Студии машинного обучения Azure в виртуальной сети Azure |
| Azure Monitor |
Доступ к выделенному кластеру Log Analytics к хранилищу ключей, управляемому клиентом, |
| Azure NetApp Files |
Разрешить доступ к ключам, управляемым клиентом, в Azure Key Vault |
| сканирование Политика Azure |
Политики уровня управления для секретов, ключей, хранящихся в плоскости данных |
| Служба развертывания шаблонов Azure Resource Manager |
Передача защищенных значений в процессе развертывания. |
| Служебная шина Azure |
Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами. |
| База данных SQL Azure |
Прозрачное шифрование данных с поддержкой использования собственных ключей для Базы данных SQL Azure и Azure Synapse Analytics. |
| Хранилище Azure |
Шифрование службы хранилища с помощью управляемых пользователем ключей в Azure Key Vault. |
| Azure Synapse Analytics |
Шифрование данных с помощью управляемых пользователем ключей в Azure Key Vault. |
| Служба развертывания виртуальных машин Azure |
Развертывание сертификатов на виртуальных машинах из хранилища ключей, управляемого пользователем |
| Exchange Online, SharePoint Online, M365DataAtRestEncryption |
Разрешение доступа к ключам, управляемым клиентом, для шифрования неактивных данных с помощью ключа клиента. |
| Microsoft Purview |
Учетные данные для проверки подлинности источника в Microsoft Purview |
Примечание.
Необходимо настроить соответствующие назначения ролей RBAC Key Vault или политики доступа(устаревшие), чтобы разрешить соответствующим службам доступ к Key Vault.
Следующие шаги