Endpoint servizio di rete virtuale per Azure Key Vault
Gli endpoint servizio di rete virtuale per Azure Key Vault consentono di limitare l'accesso a una rete virtuale specifica. Gli endpoint consentono anche di limitare l'accesso a un elenco di intervalli di indirizzi IPv4 (protocollo internet versione 4). L'accesso viene negato a tutti gli utenti che si connettono all'insieme di credenziali delle chiavi dall'esterno di tali origini.
Esiste un'importante eccezione a questa limitazione. Se un utente ha acconsentito esplicitamente a usare servizi Microsoft attendibili, le connessioni da tali servizi sono consentire attraverso il firewall. Ad esempio, questi servizi includono Office 365 Exchange Online, Office 365 SharePoint Online, Calcolo di Azure, Azure Resource Manager e Backup di Azure. Tali utenti devono comunque presentare un token Microsoft Entra valido e devono disporre delle autorizzazioni (configurate come criteri di accesso) per eseguire l'operazione richiesta. Per altre informazioni, vedere Endpoint servizio di rete virtuale.
Scenari di utilizzo
È possibile configurare reti virtuali e firewall di Key Vault per negare l'accesso al traffico da tutte le reti, incluso il traffico Internet, per impostazione predefinita. È possibile concedere l'accesso al traffico proveniente da reti virtuali specifiche di Azure e intervalli di indirizzi IP Internet pubblici, creando un limite di rete protetta per le applicazioni.
Nota
I firewall di Key Vault e le regole di rete virtuale si applicano solo al piano dati di Key Vault. Le operazioni del piano di controllo Key Vault (ad esempio creazione, eliminazione e modifica, impostazione di criteri di accesso, impostazione di firewall e regole di rete virtuale e distribuzione di segreti o chiavi tramite modelli di ARM) non sono interessate dai firewall e dalle regole di rete virtuale.
Di seguito sono riportati alcuni esempi di uso degli endpoint del servizio:
- Si usa Key Vault per archiviare chiavi di crittografia, segreti dell'applicazione, certificati e si vuole bloccare l'accesso all'insieme di credenziali delle chiavi dalla rete Internet pubblica.
- Si vuole bloccare l'accesso all'insieme di credenziali delle chiavi in modo che solo l'applicazione o un breve elenco di host designati possano connettesi all'insieme di credenziali delle chiavi.
- Si ha un'applicazione in esecuzione nella rete virtuale di Azure e la rete virtuale è bloccata per tutto il traffico in ingresso e in uscita. L'applicazione deve comunque connettersi a Key Vault per recuperare segreti o certificati o usare le chiavi di crittografia.
Concedere l'accesso ai servizi di Azure attendibili
È possibile concedere ai servizi di Azure attendibili l'accesso all'insieme di credenziali delle chiavi, mantenendo le regole di rete per altre app. Questi servizi attendibili useranno quindi l'autenticazione avanzata per connettersi in modo sicuro all'insieme di credenziali delle chiavi.
È possibile concedere l'accesso ai servizi di Azure attendibili configurando le impostazioni di rete. Per indicazioni dettagliate, vedere le opzioni di configurazione di rete di questo articolo.
Quando si concede l'accesso ai servizi di Azure attendibili, si concedono loro i tipi di accesso seguenti:
- Accesso attendibile alle risorse registrate nella sottoscrizione per le operazioni selezionate.
- Accesso attendibile alle risorse in base a un'identità gestita.
- Accesso attendibile tra i tenant usando una credenziale di identità federata
Servizi attendibili
Di seguito è riportato un elenco di servizi attendibili che sono autorizzati ad accedere a un insieme di credenziali delle chiavi se è abilitata l'opzione Allow trusted services (Consenti servizi attendibili).
Nota
È necessario configurare le assegnazioni di ruolo Controllo degli accessi in base al ruolo o i criteri di accesso pertinenti per Key Vault i criteri di accesso (legacy) pertinenti per Key Vault in modo da consentire ai servizi corrispondenti di ottenere l'accesso a Key Vault.
Passaggi successivi
- Per le istruzioni dettagliate, vedere Configurare i firewall e le reti virtuali di Azure Key Vault
- Vedere Panoramica della sicurezza di Azure Key Vault