你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Key Vault 的虚拟网络服务终结点
通过 Azure Key Vault 的虚拟网络服务终结点可将访问限制为指定虚拟网络。 此外,还可通过这些终结点将访问限制为一系列 IPv4(Internet 协议版本 4)地址范围。 任何从外部连接到 Key Vault 的用户都无法访问这些资源。
此限制有一个重要的例外情况。 若用户已选择允许受信任的 Microsoft 服务访问,则会允许来自这些服务的连接通过防火墙。 这些服务包括 Office 365 Exchange Online、Office 365 SharePoint Online、Azure 计算、Azure 资源管理器和 Azure 备份等。 此类用户仍需提供有效的 Microsoft Entra 令牌,并且必须具有执行所请求的操作的权限(配置为访问策略)。 有关详细信息,请参阅虚拟网络服务终结点。
使用方案
可以将 Key Vault 防火墙和虚拟网络配置为默认拒绝访问来自所有网络的流量(包括 Internet 流量)。 可以向来自特定 Azure 虚拟网络和公共 Internet IP 地址范围的流量授予访问权限,为应用程序构建安全的网络边界。
注意
Key Vault 防火墙和虚拟网络规则仅适用于 Key Vault 数据平面。 Key Vault 控制平面操作(例如创建、删除和修改操作,设置访问策略,设置防火墙和虚拟网络规则,以及通过 ARM 模板部署机密或密钥)不受防火墙和虚拟网络规则的影响。
下面是此服务终结点的一些用法示例:
- 使用 Key Vault 存储加密密钥、应用程序机密和证书,并希望阻止从公共 Internet 访问 Key Vault。
- 你希望限制访问 Key Vault,以便只有你的应用程序或指定的少部分主机才能连接到 Key Vault。
- 你有一个在 Azure 虚拟网络中运行的应用程序,并且此虚拟网络限制了所有的入站和出站流量。 应用程序仍需连接到 Key Vault,以获取机密或证书,或者使用加密密钥。
授予对受信任的 Azure 服务的访问权限
可向受信任 Azure 服务授予对密钥保管的访问权限,同时对其他应用保持使用网络规则。 然后,这些受信任的服务会使用强身份验证安全地连接到密钥保管库。
可以通过配置网络设置将访问权限授予受信任 Azure 服务。 有关分步指南,请参阅本文的网络配置选项。
当你授予对受信任的 Azure 服务的访问权限时,你将授予以下访问权限类型:
- 选定操作对订阅中注册的资源的受信任的访问权限。
- 基于托管标识的针对资源的受信任访问权限。
- 使用联合标识凭据进行跨租户的受信任访问
受信服务
以下是允许访问 Key Vault 的受信服务列表(前提是启用了“允许受信任的服务”选项)。
注意
必须设置相关 Key Vault 角色分配或访问策略(旧版),才能允许相应服务获取密钥保管库的访问权限。
后续步骤
- 有关分步说明,请参阅配置 Azure Key Vault 防火墙和虚拟网络
- 请参阅 Azure Key Vault 安全性概述