你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置 Azure Key Vault 防火墙和虚拟网络
本文档详细介绍了 Azure Key Vault 防火墙的不同配置。 若要按照有关如何配置这些设置的分步说明进行操作,请参阅配置 Azure Key Vault 网络设置。
有关详细信息,请参阅适用于 Azure Key Vault 的虚拟网络服务终结点。
防火墙设置
本部分介绍配置 Azure Key Vault 防火墙的不同方式。
禁用 Key Vault 防火墙(默认)
默认情况下,当你创建新的密钥保管库时,Azure Key Vault 防火墙处于禁用状态。 所有应用程序和 Azure 服务都可以访问该密钥保管库并将请求发送到该密钥保管库。 此配置并不意味着任何用户都可以在你的密钥保管库上执行操作。 密钥保管库仍通过要求 Microsoft Entra 身份验证和访问策略权限来限制对存储在密钥保管库中的机密、密钥和证书的访问。 若要更详细地了解密钥保管库身份验证,请参阅 Azure Key Vault 中的身份验证。 有关详细信息,请参阅访问防火墙保护下的 Azure 密钥保管库。
启用 Key Vault 防火墙(仅限受信任的服务)
启用 Key Vault 防火墙时,系统会向你提供“允许受信任的 Microsoft 服务绕过此防火墙”的选项。 受信任的服务列表并不是全部的 Azure 服务。 例如,Azure DevOps 不在受信任的服务列表中。 这并不意味着未出现在可信服务列表中的服务不受信任或不安全。 受信任的服务列表中包含的服务符合这一条件:Microsoft 控制该服务上运行的所有代码。 由于用户可以在 Azure 服务(例如 Azure DevOps)中编写自定义代码,因此 Microsoft 不提供为该服务创建全面批准的选项。 此外,服务出现在受信任的服务列表中并不意味着所有方案都允许该服务。
若要确定你要使用的服务是否在受信任的服务列表中,请参阅 Azure Key Vault 的虚拟网络服务终结点。 有关操作指南,请遵循此处有关门户、Azure CLI 和 PowerShell 的说明
启用 Key Vault 防火墙(IPv4 地址和范围 - 静态 IP)
如果你想要授权特定服务通过 Key Vault 防火墙访问密钥保管库,可将其 IP 地址添加到密钥保管库防火墙允许列表中。 此配置最适合使用静态 IP 地址或已知范围的服务。 这种情况下,CIDR 范围数量限制为 1000。
若要允许某个 Azure 资源(例如 Web 应用或逻辑应用)的某个 IP 地址或范围,请执行以下步骤。
- 登录到 Azure 门户。
- 选择资源(服务的特定实例)。
- 选择“设置”下的“属性”边栏选项卡。
- 查找“IP 地址”字段。
- 复制此值或范围,并将其输入到密钥保管库防火墙允许列表中。
若要允许整个 Azure 服务通过 Key Vault 防火墙,请使用此处的 Azure 公开记录的数据中心 IP 地址列表。 在所需区域中找到与服务关联的 IP 地址,并将这些 IP 地址添加到密钥保管库防火墙。
启用 Key Vault 防火墙(虚拟网络 - 动态 IP)
如果尝试允许 Azure 资源(如虚拟机)通过密钥保管库,则可能无法使用静态 IP 地址,并且你可能不希望允许 Azure 虚拟机的所有 IP 地址访问密钥保管库。
在这种情况下,应在虚拟网络中创建资源,然后允许来自特定虚拟网络和子网的流量访问密钥保管库。
- 登录到 Azure 门户。
- 选择要配置的密钥保管库。
- 选择“网络”边栏选项卡。
- 选择“+ 添加现有虚拟网络”。
- 选择要允许通过密钥保管库防火墙的虚拟网络和子网。
启用 Key Vault 防火墙(专用链接)
若要了解如何在密钥保管库上配置专用链接连接,请参阅此处的文档。
重要
防火墙规则生效后,只在用户请求来自允许的虚拟网络或 IPv4 地址范围时,才能执行 Key Vault 数据平面操作。 从 Azure 门户访问 Key Vault 时,这同样适用。 虽然用户可从 Azure 门户浏览到 Key Vault,但如果其客户端计算机不在允许列表中,则可能无法列出密钥、机密或证书。 这也会影响其他 Azure 服务使用的密钥保管库选取器。 如果防火墙规则阻止了用户的客户端计算机,则用户可以查看密钥保管库列表,但不能查看列表密钥。
注意
注意以下配置限制:
- 最多允许 200 条虚拟网络规则和 1000 条 IPv4 规则。
- IP 网络规则仅适用于公共 IP 地址。 IP 规则不允许为专用网络保留的 IP 地址范围(如 RFC 1918 中所定义)。 专用网络包括以 10. 、172.16-31 和 192.168. 开头的地址。
- 目前仅支持 IPv4 地址。
公共访问已禁用(仅专用终结点)
为了提高网络安全性,可以将保管库配置为禁用公共访问。 这将拒绝所有公共配置,仅允许通过专用终结点进行连接。
网络安全外围(预览版)
借助网络安全外围(预览版),组织能够为在组织的虚拟网络外部部署的 PaaS 资源(例如 Azure Key Vault、Azure 存储和 SQL 数据库)定义逻辑网络隔离边界。 它限制对外围之外的 PaaS 资源的公用网络访问,可以使用公共入站和出站的显式访问规则来免除访问。
目前,网络安全外围针对部分资源提供公共预览。 请参阅载入的专用链接资源和网络安全外围的限制。 有关详细信息,请参阅过渡到网络安全外围。
重要
专用终结点流量被视为高度安全,因此不受网络安全外围规则的约束。 如果密钥保管库与外围关联,所有其他流量(包括受信任的服务)都将受到网络安全外围规则的约束。
通过使用网络安全外围:
- 外围内的所有资源都可以与外围内的任何其他资源通信。
- 可以通过以下控件进行外部访问:
- 可以使用客户端的网络和标识属性(例如源 IP 地址、订阅)批准公共入站访问。
- 可以使用外部目标的 FQDN(完全限定的域名)批准公共出站。
- 为外围内的 PaaS 资源启用诊断设置,用于进行审核和实现合规性。
限制和注意事项
- 将公用网络访问设置为“禁用”后仍会允许受信任的服务。 将公用网络访问切换为“按外围保护”,然后禁止受信任的服务(即使配置为允许受信任的服务)。
- Azure Key Vault 规则仅适用于数据平面操作。 控制平面操作不受防火墙规则中指定的限制的约束。
- 要使用 Azure 门户等工具访问数据,必须使用配置网络安全规则时建立的受信任边界内的计算机。
- Azure Key Vault 没有出站规则的概念,你仍可将密钥保管库关联到具有出站规则的外围,但密钥保管库不会使用这些规则。
将网络安全外围与密钥保管库关联 - Azure PowerShell
要在 Azure PowerShell 中将网络安全外围与密钥保管库关联,请按照这些说明操作。
将网络安全外围与密钥保管库关联 - Azure CLI
要在 Azure CLI 中将网络安全外围与密钥保管库关联,请按照这些说明操作
网络安全外围访问模式
网络安全外围支持关联资源的两种不同的访问模式:
模式 | 描述 |
---|---|
学习模式 | 默认访问模式。 在学习模式中,网络安全外围会将所有流量记录到搜索服务,如果外围处于强制模式,则会拒绝这些流量。 这样,网络管理员就可以在实施访问规则之前了解搜索服务的现有访问模式。 |
强制模式 | 在强制模式中,网络安全外围会记录并拒绝访问规则未显式允许的所有流量。 |
网络安全外围和密钥保管库网络设置
publicNetworkAccess
设置确定密钥保管库与网络安全外围的关联。
在学习模式中,
publicNetworkAccess
设置控制对资源的公共访问。在强制模式中,
publicNetworkAccess
设置将被网络安全外围规则覆盖。 例如,如果将publicNetworkAccess
设置为enabled
的搜索服务与强制模式下的网络安全外围相关联,则对搜索服务的访问仍受网络安全外围访问规则的控制。
更改网络安全外围访问模式
在门户中导航到网络安全外围资源。
在左侧菜单中,选择“资源”。
在表中查找密钥保管库。
选择搜索服务行最右侧的三个点。 在弹出窗口中选择“更改访问模式”。
选择所需的访问模式,然后选择“应用”。
启用日志记录网络访问
请参阅网络安全外围的诊断日志。
参考
- ARM 模板参考:Azure Key Vault ARM 模板参考
- Azure CLI 命令:az keyvault network-rule
- Azure PowerShell cmdlets:Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet