Condividi tramite

Endpoint servizio di rete virtuale per Azure Key Vault

  • Articolo

Gli endpoint servizio di rete virtuale per Azure Key Vault consentono di limitare l'accesso a una rete virtuale specifica. Gli endpoint consentono anche di limitare l'accesso a un elenco di intervalli di indirizzi IPv4 (protocollo internet versione 4). L'accesso viene negato a tutti gli utenti che si connettono all'insieme di credenziali delle chiavi dall'esterno di tali origini.

Esiste un'importante eccezione a questa limitazione. Se un utente ha acconsentito esplicitamente a usare servizi Microsoft attendibili, le connessioni da tali servizi sono consentire attraverso il firewall. Ad esempio, questi servizi includono Office 365 Exchange Online, Office 365 SharePoint Online, Calcolo di Azure, Azure Resource Manager e Backup di Azure. Tali utenti devono comunque presentare un token Microsoft Entra valido e devono disporre delle autorizzazioni (configurate come criteri di accesso) per eseguire l'operazione richiesta. Per altre informazioni, vedere Endpoint servizio di rete virtuale.

Scenari di utilizzo

È possibile configurare reti virtuali e firewall di Key Vault per negare l'accesso al traffico da tutte le reti, incluso il traffico Internet, per impostazione predefinita. È possibile concedere l'accesso al traffico proveniente da reti virtuali specifiche di Azure e intervalli di indirizzi IP Internet pubblici, creando un limite di rete protetta per le applicazioni.

Nota

I firewall di Key Vault e le regole di rete virtuale si applicano solo al piano dati di Key Vault. Le operazioni del piano di controllo Key Vault (ad esempio creazione, eliminazione e modifica, impostazione di criteri di accesso, impostazione di firewall e regole di rete virtuale e distribuzione di segreti o chiavi tramite modelli di ARM) non sono interessate dai firewall e dalle regole di rete virtuale.

Di seguito sono riportati alcuni esempi di uso degli endpoint del servizio:

  • Si usa Key Vault per archiviare chiavi di crittografia, segreti dell'applicazione, certificati e si vuole bloccare l'accesso all'insieme di credenziali delle chiavi dalla rete Internet pubblica.
  • Si vuole bloccare l'accesso all'insieme di credenziali delle chiavi in modo che solo l'applicazione o un breve elenco di host designati possano connettesi all'insieme di credenziali delle chiavi.
  • Si ha un'applicazione in esecuzione nella rete virtuale di Azure e la rete virtuale è bloccata per tutto il traffico in ingresso e in uscita. L'applicazione deve comunque connettersi a Key Vault per recuperare segreti o certificati o usare le chiavi di crittografia.

Concedere l'accesso ai servizi di Azure attendibili

È possibile concedere ai servizi di Azure attendibili l'accesso all'insieme di credenziali delle chiavi, mantenendo le regole di rete per altre app. Questi servizi attendibili useranno quindi l'autenticazione avanzata per connettersi in modo sicuro all'insieme di credenziali delle chiavi.

È possibile concedere l'accesso ai servizi di Azure attendibili configurando le impostazioni di rete. Per indicazioni dettagliate, vedere le opzioni di configurazione di rete di questo articolo.

Quando si concede l'accesso ai servizi di Azure attendibili, si concedono loro i tipi di accesso seguenti:

  • Accesso attendibile alle risorse registrate nella sottoscrizione per le operazioni selezionate.
  • Accesso attendibile alle risorse in base a un'identità gestita.
  • Accesso attendibile tra i tenant usando una credenziale di identità federata

Servizi attendibili

Di seguito è riportato un elenco di servizi attendibili che sono autorizzati ad accedere a un insieme di credenziali delle chiavi se è abilitata l'opzione Allow trusted services (Consenti servizi attendibili).

Servizio attendibile Scenari di utilizzo supportati
Gestione API di Azure Distribuire i certificati per un dominio personalizzato da Key Vault usando l'identità del servizio gestita
Servizio app di Azure Il servizio app è attendibile solo per la distribuzione del certificato dell'app Web di Azure tramite Key Vault, per le singole app gli indirizzi IP in uscita possono essere aggiunti nelle regole basate su IP di Key Vault
Gateway applicazione di Azure Uso di certificati di Key Vault per listener abilitati per HTTPS
Backup di Azure Consentire il backup e ripristino di segreti e chiavi pertinenti durante il backup delle macchine virtuali di Azure usando Backup di Azure.
Azure Batch Configurare le chiavi gestite dal cliente per gli account Batch e Key Vault per gli account Batch della sottoscrizione utente
Servizio Azure Bot Crittografia del servizio Azure AI Bot per dati inattivi
Rete CDN di Azure Configurare HTTPS in un dominio personalizzato della rete CDN di Azure: concedere l'accesso alla rete CDN di Azure all'insieme di credenziali delle chiavi
Registro Azure Container Crittografia del registro con chiavi gestite dal cliente
Azure Data Factory Recuperare le credenziali dell'archivio dati in Key Vault da Data Factory
Azure Data Lake Storage Crittografia dei dati in Azure Data Lake Store con una chiave gestita dal cliente.
Azure Data Manager per l'agricoltura Archiviare e usare le proprie chiavi di licenza
Server singolo di Database di Azure per MySQL Crittografia dei dati per server singolo di Database di Azure per MySQL
Server flessibile di Database di Azure per MySQL Crittografia dei dati per server flessibile di Database di Azure per MySQL
Server singolo di Database di Azure per PostgreSQL Crittografia dei dati per server singolo di Database di Azure per PostgreSQL
Server flessibile di Database di Azure per PostgreSQL Crittografia dei dati per server flessibile di Database di Azure per PostgreSQL
Azure Databricks Servizio di analisi veloce, facile e collaborativo basato su Apache Spark
Servizio di crittografia dei volumi di Crittografia dischi di Azure Consentire l'accesso a BitLocker Key (VM Windows) o DM Passphrase (VM Linux) e la chiave di crittografia della chiave durante la distribuzione della macchina virtuale. In questo modo si abilita Crittografia dischi di Azure.
Archiviazione su disco di Azure Se configurato con un set di crittografia dischi (DES). Per altre informazioni, vedere Crittografia lato server del servizio di archiviazione su disco di Azure usando chiavi gestite dal cliente.
Hub eventi di Azure Consentire l'accesso a un insieme di credenziali delle chiavi per uno scenario di chiavi gestite dal cliente
Azure ExpressRoute Quando si usa MACsec con ExpressRoute Direct
Firewall di Azure Premium Certificati di Firewall di Azure Premium
Frontdoor di Azure (versione classica) Uso di certificati di Key Vault per HTTPS
Frontdoor di Azure Standard/Premium Uso di certificati di Key Vault per HTTPS
Importazione/Esportazione di Azure Usare chiavi gestite dal cliente in Azure Key Vault per il servizio Importazione/Esportazione
Azure Information Protection Consentire l'accesso alla chiave del tenant per Azure Information Protection.
Azure Machine Learning Proteggere Azure Machine Learning in una rete virtuale
Monitoraggio di Azure Accesso al cluster dedicato di Log Analytics a un insieme di credenziali delle chiavi per lo scenario delle chiavi gestite dal cliente
Azure NetApp Files Consentire l'accesso alle chiavi gestite dal cliente in Azure Key Vault
Criteri di Azure analisi Criteri del piano di controllo per segreti, chiavi archiviate nel piano dati
Servizio di distribuzione dei modelli di Azure Resource Manager Passare valori protetti durante la distribuzione.
Bus di servizio di Azure Consentire l'accesso a un insieme di credenziali delle chiavi per uno scenario di chiavi gestite dal cliente
Database SQL di Microsoft Azure Transparent Data Encryption con supporto BYOK (Bring Your Own Key) per il database SQL di Azure e Azure Synapse Analytics.
Archiviazione di Azure Crittografia del servizio di archiviazione di Azure con chiavi gestite dal cliente in Azure Key Vault.
Azure Synapse Analytics Crittografia dei dati con chiavi gestite dal cliente in Azure Key Vault
Servizio di distribuzione di Macchine virtuali di Azure Distribuire i certificati alle macchine virtuali da Key Vault gestito dal cliente.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Consentire l'accesso alle chiavi gestite dal cliente per la crittografia dei dati inattivi con chiave del cliente.
Microsoft Purview Uso di credenziali per l'autenticazione dell'origine in Microsoft Purview

Nota

È necessario configurare le assegnazioni di ruolo Controllo degli accessi in base al ruolo o i criteri di accesso pertinenti per Key Vault i criteri di accesso (legacy) pertinenti per Key Vault in modo da consentire ai servizi corrispondenti di ottenere l'accesso a Key Vault.

Passaggi successivi