Acceso al almacén de claves en una red privada mediante puntos de conexión privados compartidos

Azure SignalR Service puede acceder al almacén de claves en una red privada mediante puntos de conexión privados compartidos. De este modo, el Key Vault no se expone en una red pública.

Puede crear puntos de conexión privados a través de Azure SignalR Service API para el acceso compartido a un recurso integrado con Azure Private Link servicio. Estos puntos de conexión, denominados recursos de vínculo privado compartido, se crean dentro del entorno de ejecución de SignalR y no son accesibles fuera de este entorno.

En este artículo, aprenderá a crear un punto de conexión privado compartido para Key Vault.

Requisitos previos

Para completar este artículo, necesitará los siguientes recursos:

• Grupo de recursos de Azure.
• Una instancia del servicio Azure SignalR.
• Una instancia de Azure Key Vault.

En los ejemplos de este artículo se usa la siguiente convención de nomenclatura, aunque puede usar sus propios nombres en su lugar.

• El identificador de recurso de este servicio Azure SignalR Service es /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr.
• El id. de recurso de Azure Key Vault es /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv.
• En el resto de los ejemplos se muestra cómo se puede configurar el servicio contoso-signalr para que sus llamadas salientes a Key Vault pasen por un punto de conexión privado en lugar de una red pública.

Creación de un recurso de vínculo privado compartido a Key Vault

Azure Portal

1. En Azure Portal, vaya al recurso de Azure SignalR Service.

2. Seleccionar Redes.

3. Seleccione la pestaña Acceso privado.

4. Seleccione Agregar punto de conexión privado compartido en la sección Puntos de conexión privados compartidos.

   

   Escriba la información siguiente:

   Campo	Descripción
   Nombre	Nombre del punto de conexión privado compartido.
   Tipo	Seleccione Microsoft.KeyVault/vaults.
   Suscripción	La suscripción que contiene key Vault.
   Recurso	Escriba el nombre del recurso de Key Vault.
   Mensaje de solicitud	Escriba "por favor aprobar"

5. Seleccione Agregar.

   

Cuando haya agregado correctamente el punto de conexión privado, el estado de aprovisionamiento será Correcto. El estado de conexión será Pendiente hasta que apruebe el punto de conexión en el lado Key Vault.

CLI de Azure

Realice la siguiente llamada API con la CLI de Azure para crear un recurso de vínculo privado compartido:

az rest --method put --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/kv-pe?api-version=2021-06-01-preview --body @create-pe.json

El contenido del archivo create-pe.json, que representa el cuerpo de la solicitud a la API, es el siguiente:

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vault",
        "requestMessage": "please approve"
      }
}

El proceso de creación de un punto de conexión privado de salida es una operación de larga duración (asincrónica), Como en todas las operaciones asincrónicas de Azure, la llamada a PUT devuelve un valor de encabezado Azure-AsyncOperation similar al siguiente texto:

"Azure-AsyncOperation": "https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview"

Este identificador URI se puede sondear periódicamente para obtener el estado de la operación.

Puede sondear el estado realizando una consulta manual del valor Azure-AsyncOperationHeader:

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/operationStatuses/c0786383-8d5f-4554-8d17-f16fcf482fb2?api-version=2021-06-01-preview

Espere hasta que el estado cambie a Correcto antes de continuar con los pasos siguientes.

Aprobación de la conexión de punto de conexión privado para Key Vault

Azure Portal

1. Vaya al recurso de Key Vault

2. Seleccione Redes.

3. Seleccione la pestaña Conexiones de punto de conexión privado. Una vez que la operación asincrónica se ha realizado correctamente, debe haber una solicitud de una conexión de punto de conexión privado con el mensaje de solicitud de la llamada API anterior.

4. Seleccione el punto de conexión privado que SignalR Service creó y, a continuación, seleccione Aprobar.

5. Seleccione Sí para aprobar la conexión.

   

CLI de Azure

1. Enumere las conexiones de punto de conexión privado.

   az network private-endpoint-connection list -n <key-vault-resource-name>  -g <key-vault-resource-group-name> --type 'Microsoft.KeyVault/vaults'
   

   Debe haber una conexión de punto de conexión privado pendiente. Tenga en cuenta sus id.

   [
       {
           "id": "<id>",
           "location": "",
           "name": "",
           "properties": {
               "privateLinkServiceConnectionState": {
                   "actionRequired": "None",
                   "description": "Please approve",
                   "status": "Pending"
              }
           }
       }
   ]
   

2. Aprobación de la conexión del punto de conexión privado:

   az network private-endpoint-connection approve --id <private-endpoint-connection-id>
   

Comprobación de que el punto de conexión privado compartido es funcional

Después de unos minutos, la aprobación se propaga a la SignalR Service y el estado de conexión se establece como Aprobado. Puede comprobar el estado mediante Azure Portal o la CLI de Azure.

Azure Portal

CLI de Azure

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.SignalRService/signalr/contoso-signalr/sharedPrivateLinkResources/func-pe?api-version=2021-06-01-preview

El comando devolverá un objeto JSON, donde el estado de conexión se muestra como "estado" en la sección "propiedades".

{
      "name": "contoso-kv",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.KeyVault/vaults/contoso-kv",
        "groupId": "vaults",
        "requestMessage": "please approve",
        "status": "Approved",
        "provisioningState": "Succeeded"
      }
}

Cuando el valor de "Estado de aprovisionamiento" (properties.provisioningState) del recurso es Succeeded y el valor de "Estado de la conexión" (properties.status) es Approved, el recurso de vínculo privado compartido es funcional y que el SignalR Service se puede comunicar mediante el punto de conexión privado.

Cuando el punto de conexión privado entre SignalR Service y Azure Key Vault es funcional, el valor del estado de aprovisionamiento es Correcto y el estado de conexión es Aprobado.

Limpieza

Si no tiene previsto usar los recursos que ha creado en este artículo, puede eliminar el grupo de recursos.

Precaución

Al eliminar un grupo de recursos se eliminan todos los recursos que contiene. Si los recursos que están fuera del ámbito de este artículo existen en el grupo de recursos especificado, también se eliminarán.

Pasos siguientes

• ¿Qué son los puntos de conexión privados?
• Configuración de un dominio personalizado