次の方法で共有


Azure Key Vault のファイアウォールと仮想ネットワークを構成する

このドキュメントでは、Azure Key Vault ファイアウォールのさまざまな構成について詳しく説明します。 これらの設定を構成する詳細な手順に従うには、「Azure Key Vault のネットワーク設定を構成する」を参照してください。

詳細については、「Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。

ファイアウォール設定

このセクションでは、Azure Key Vault ファイアウォールを構成するためのさまざまな方法について説明します。

キーコンテナー ファイアウォールを無効にする (既定値)

既定では、新しいキー コンテナーを作成するとき、Azure Key Vault ファイアウォールは無効になります。 すべてのアプリケーションおよび Azure サービスから、キー コンテナーにアクセスし、キー コンテナーに要求を送信することができます。 この構成は、お客様のキー コンテナー上で任意のユーザーが操作を行えるということを意味するものではありません。 キー コンテナーでは、Microsoft Entra 認証とアクセス ポリシーのアクセス許可を要求することによって、キー コンテナーに格納されているシークレット、キー、および証明書へのアクセスを引き続き制限します。 キー コンテナー認証の詳細については、「Azure Key Vault の認証」を参照してください。 詳細については、「ファイアウォールの向こう側にある Azure Key Vault へのアクセス」を参照してください。

Key Vault ファイアウォールを有効にする (信頼されたサービスのみ)

Key Vault ファイアウォールを有効にすると、[信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する] オプションが表示されます。 信頼されたサービスのリストには、単一の Azure サービスがすべてが含まれるわけではありません。 たとえば、Azure DevOps は信頼されたサービスのリストに掲載されていません。 信頼されたサービスの一覧にないサービスが信頼されていない、または安全でないというわけではありません。 信頼されたサービスのリストには、サービス上で実行されるすべてのコードを Microsoft が制御するサービスが含まれます。 Azure DevOps などの Azure サービス内ではユーザーがカスタム コードを記述できるため、Microsoft はサービスの包括的承認を作成するオプションを提供していません。 さらに、サービスが、信頼されたサービスのリストに掲載されていたからといって、それがすべてのシナリオに対して許可されるわけではありません。

使用するサービスが信頼されたサービスのリストにあるか判断するには、「Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。 攻略ガイドについては、こちらのポータル、Azure CLI、PowerShell 向けの手順に従ってください

Key Vault ファイアウォールを有効にする (IPv4 アドレスおよび範囲 - 静的 IP)

Key Vault ファイアウォールを経由してキー コンテナーにアクセスする特定のサービスを認可したい場合は、その IP アドレスをキー コンテナー ファイアウォール許可リストに追加します。 この構成は、静的 IP アドレスまたは既知の範囲を使用するサービスに最適です。 この場合、CIDR 範囲については、1000 までという制限があります。

Web アプリやロジック アプリなどの Azure リソースの IP アドレスまたは範囲を許可するには、次の手順を行います。

  1. Azure portal にサインインします。
  2. リソース (サービスの特定のインスタンス) を選択します。
  3. [設定] の配下にある [プロパティ] ブレードを確認します。
  4. [IP アドレス] フィールドを探す。
  5. この値または範囲をコピーし、キー コンテナー ファイアウォール許可リストに入力します。

Key Vault ファイアウォールを介して Azure サービス全体を許可するには、こちらの Azure 用の公式に文書化されたデータセンター IP アドレスのリストを使用してください。 目的のリージョンで必要なサービスに関連付けられている IP アドレスを見つけ、それらの IP アドレスをキー コンテナー ファイアウォールに追加します。

Key Vault ファイアウォールを有効にする (仮想ネットワーク - 動的 IP)

キー コンテナーを介して仮想マシンなどの Azure リソースを許可しようとしている場合は、静的 IP アドレスを使用できない可能性があり、さらに Azure Virtual Machines の一部の IP アドレスにキー コンテナーへのアクセスを許可したくないこともあります。

この場合は、仮想ネットワーク内にリソースを作成し、特定の仮想ネットワークおよびサブネットからのトラフィックがご利用のキー コンテナーにアクセスするのを許可する必要があります。

  1. Azure portal にサインインします。
  2. 構成するキー コンテナーを選択する。
  3. [ネットワーク] タブを選択する。
  4. [+ 既存の仮想ネットワークを追加] を選択します。
  5. キー コンテナー ファイアウォールを介して許可する仮想ネットワークおよびサブネットを選択する。

ご利用のキー コンテナーでプライベート リンク接続を構成する方法については、こちらのドキュメントを参照してください。

重要

ファイアウォール ルールを有効にした後は、要求が許可された仮想ネットワークまたは IPv4 アドレス範囲から送信された場合にのみ、ユーザーは Key Vault データ プレーンの操作を実行できます。 これは、Azure portal から Key Vault にアクセスする場合にも適用されます。 ユーザーは Azure portal からキー コンテナーを参照できますが、クライアント マシンが許可リストに登録されていない場合、キー/シークレット/証明書を一覧表示できない場合があります。 これは、他の Azure サービスで使用される Key Vault 選択機能にも影響します。 ファイアウォール ルールでクライアント マシンが許可されていない場合、ユーザーはキー コンテナーを一覧表示できても、キーは一覧表示できないことがあります。

Note

構成に関する次の制限事項に注意してください。

  • 最大で 200 個の仮想ネットワーク規則と 1000 個の IPv4 ルールを指定できます。
  • IP ネットワーク ルールは、パブリック IP アドレスに対してのみ許可されます。 プライベート ネットワーク用に予約されている IP アドレス範囲 (RFC 1918 で定義) は、IP ルールでは許可されません。 プライベート ネットワークには、10.172.16-31、および 192.168. で始まるアドレスが含まれます。
  • 現時点でサポートされているのは、IPv4 アドレスのみです。

パブリック アクセスが無効 (プライベート エンドポイントのみ)

ネットワーク セキュリティを強化するために、パブリック アクセスを無効にするようにコンテナーを構成できます。 これにより、すべてのパブリック構成が拒否され、プライベート エンドポイント経由の接続のみが許可されます。

ネットワーク セキュリティ境界 (プレビュー)

ネットワーク セキュリティ境界 (プレビュー) を使用すると、組織の仮想ネットワークの外部に配置された PaaS リソース (Azure Key Vault、Azure Storage、SQL Database など) の論理ネットワーク分離境界を定義できます。 境界外の PaaS リソースへの公衆ネットワーク アクセスを制限しますが、パブリックの受信および送信に対する明示的なアクセス規則を使用することでアクセスを例外として許可できます。

現在、ネットワーク セキュリティ境界は、リソースのサブセットを対象にパブリック プレビュー段階にあります。 「オンボードのプライベート リンク リソース」および「ネットワーク セキュリティ境界の制限」を参照してください。 詳細については、「ネットワーク セキュリティ境界への変換」を参照してください。

重要

プライベート エンドポイント トラフィックは安全性が高いと見なされるため、ネットワーク セキュリティ境界の規則の対象になりません。 信頼されたサービスを含む他のすべてのトラフィックは、キー コンテナーが境界に関連付けられている場合、ネットワーク セキュリティ境界の規則の対象になります。

ネットワーク セキュリティ境界の場合:

  • 境界内のすべてのリソースは、境界内の他のリソースと通信できます。
  • 外部アクセスは、次のコントロールで使用できます。
    • パブリック受信アクセスは、ソース IP アドレス、サブスクリプションなどのクライアントのネットワークおよび ID 属性を使用して承認できます。
    • パブリック送信は、外部宛先の FQDN (完全修飾ドメイン名) を使用して承認できます。
  • 診断ログは、監査とコンプライアンスのために境界内の PaaS リソースに対して有効になっています。

制限事項と考慮事項

  • [公衆ネットワーク アクセス] を [無効] に設定しても、信頼されたサービスは許可されます。 境界で [公衆ネットワーク アクセス] を [セキュリティ保護] に切り替えると、信頼されたサービスを許可するように構成されている場合でも、信頼されたサービスが禁止されます。
  • Azure Key Vault ファイアウォール規則は、データ プレーン操作にのみ適用されます。 コントロール プレーン操作は、ファイアウォール規則で指定されている制限の対象になりません。
  • Azure portal などのツールを使用してデータにアクセスするには、ネットワーク セキュリティ規則を構成するときに確立する、信頼できる境界内のマシンから実行する必要があります。
  • Azure Key Vault にはアウトバウンド規則の概念はありませんが、アウトバウンド規則を持つ境界にキー コンテナーを関連付けることができます。ただし、キー コンテナーは送信規則を使用しません。

ネットワーク セキュリティ境界をキー コンテナーに関連付ける - Azure PowerShell

ネットワーク セキュリティ境界を Azure PowerShell のキー コンテナーに関連付けるには、次の手順に従います。

ネットワーク セキュリティ境界をキー コンテナーに関連付ける - Azure CLI

Azure CLI でネットワーク セキュリティ境界をキー コンテナーに関連付けるには、次の手順に従います

ネットワーク セキュリティ境界のアクセス モード

ネットワーク セキュリティ境界では、関連付けられたリソースに対して 2 つの異なるアクセス モードがサポートされています。

モード 説明
学習モード 既定のアクセス モード。 "学習" モードのネットワーク セキュリティ境界は、境界が強制モードであったとしたら拒否されていた、検索サービスへのすべてのトラフィックをログします。 これにより、ネットワーク管理者は、アクセス規則の適用を実装する前に、検索サービスの既存のアクセス パターンを理解できます。
強制モード "強制" モードのネットワーク セキュリティ境界は、アクセス規則によって明示的に許可されていないすべてのトラフィックをログして拒否します。

ネットワーク セキュリティ境界とキー コンテナーのネットワーク設定

publicNetworkAccess 設定は、ネットワーク セキュリティ境界とのキー コンテナーの関連付けを決定します。

  • 学習モードでは、publicNetworkAccess 設定によってリソースへのパブリック アクセスが制御されます。

  • 強制モードでは、publicNetworkAccess 設定はネットワーク セキュリティ境界の規則によってオーバーライドされます。 たとえば、publicNetworkAccess 設定が enabled である検索サービスが強制モードでネットワーク セキュリティ境界に関連付けられている場合、検索サービスへのアクセスは、やはりネットワーク セキュリティ境界アクセスの規則によって制御されます。

ネットワーク セキュリティ境界のアクセス モードを変更する

  1. ポータルでネットワーク セキュリティ境界リソースに移動します。

  2. 左側のメニューで [リソース] を選びます。

  3. テーブルでキー コンテナーを検索します。

  4. 検索サービス行の右端にある 3 つのドットを選びます。 ポップアップで [アクセス モードの変更] を選択します。

  5. 目的のアクセス モードを選んで、[適用] を選びます。

ネットワーク アクセスのログを有効にする

ネットワーク セキュリティ境界の診断ログ」を参照してください。

関連情報

次のステップ