你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Key Vault 的虚拟网络服务终结点

通过 Azure Key Vault 的虚拟网络服务终结点可将访问限制为指定虚拟网络。 此外,还可通过这些终结点将访问限制为一系列 IPv4(Internet 协议版本 4)地址范围。 任何从外部连接到 Key Vault 的用户都无法访问这些资源。

此限制有一个重要的例外情况。 若用户已选择允许受信任的 Microsoft 服务访问,则会允许来自这些服务的连接通过防火墙。 这些服务包括 Office 365 Exchange Online、Office 365 SharePoint Online、Azure 计算、Azure 资源管理器和 Azure 备份等。 此类用户仍需提供有效的 Microsoft Entra 令牌,并且必须具有执行所请求的操作的权限(配置为访问策略)。 有关详细信息,请参阅虚拟网络服务终结点

使用方案

可以将 Key Vault 防火墙和虚拟网络配置为默认拒绝访问来自所有网络的流量(包括 Internet 流量)。 可以向来自特定 Azure 虚拟网络和公共 Internet IP 地址范围的流量授予访问权限,为应用程序构建安全的网络边界。

注意

Key Vault 防火墙和虚拟网络规则仅适用于 Key Vault 数据平面。 Key Vault 控制平面操作(例如创建、删除和修改操作,设置访问策略,设置防火墙和虚拟网络规则,以及通过 ARM 模板部署机密或密钥)不受防火墙和虚拟网络规则的影响。

下面是此服务终结点的一些用法示例:

  • 使用 Key Vault 存储加密密钥、应用程序机密和证书,并希望阻止从公共 Internet 访问 Key Vault。
  • 你希望限制访问 Key Vault,以便只有你的应用程序或指定的少部分主机才能连接到 Key Vault。
  • 你有一个在 Azure 虚拟网络中运行的应用程序,并且此虚拟网络限制了所有的入站和出站流量。 应用程序仍需连接到 Key Vault,以获取机密或证书,或者使用加密密钥。

授予对受信任的 Azure 服务的访问权限

可向受信任 Azure 服务授予对密钥保管的访问权限,同时对其他应用保持使用网络规则。 然后,这些受信任的服务会使用强身份验证安全地连接到密钥保管库。

可以通过配置网络设置将访问权限授予受信任 Azure 服务。 有关分步指南,请参阅本文的网络配置选项

当你授予对受信任的 Azure 服务的访问权限时,你将授予以下访问权限类型:

  • 选定操作对订阅中注册的资源的受信任的访问权限。
  • 基于托管标识的针对资源的受信任访问权限。
  • 使用联合标识凭据进行跨租户的受信任访问

受信服务

以下是允许访问 Key Vault 的受信服务列表(前提是启用了“允许受信任的服务”选项)。

受信服务 支持的使用方案
Azure API 管理 使用 MSI 从 Key Vault 部署自定义域证书
Azure 应用服务 应用服务仅适用于通过 Key Vault 部署 Azure Web 应用证书,对于单个应用本身,可以在 Key Vault 基于 IP 的规则中添加出站 IP
Azure 应用程序网关 对启用 HTTPS 的侦听器使用 Key Vault 证书
Azure 备份 允许使用 Azure 备份在 Azure 虚拟机备份期间备份和还原相关密钥和机密。
Azure Batch 为批处理帐户配置客户管理的密钥为用户订阅批处理帐户配置密钥保管库
Azure 机器人服务 适用于静态数据的 Azure AI 机器人服务加密
Azure CDN 在 Azure CDN 自定义域上配置 HTTPS:授予 Azure CDN 访问密钥保管库的权限
Azure 容器注册表 使用客户管理的密钥进行注册表加密
Azure 数据工厂 从数据工厂提取 Key Vault 中的数据存储凭据
Azure Data Lake Store 在 Azure Data Lake Store 中使用客户托管密钥进行数据加密
适用于农业的 Azure 数据管理器 存储和使用自己的许可证密钥
Azure Database for MySQL 单一服务器 Azure Database for MySQL 单一服务器的数据加密
Azure Database for MySQL 灵活服务器 Azure Database for MySQL 灵活服务器的数据加密
Azure Database for PostgreSQL 单一服务器 Azure Database for PostgreSQL 单一服务器的数据加密
Azure Database for PostgreSQL 灵活服务器 Azure Database for PostgreSQL 灵活服务器的数据加密
Azure Databricks 基于 Apache Spark 的快速、简单、协作分析服务
Azure 磁盘加密卷加密服务 允许在虚拟机部署期间访问 BitLocker 密钥 (Windows VM) 或 DM 密码 (Linux VM) 和密钥加密密钥。 这将启用 Azure 磁盘加密
Azure 磁盘存储 配置了磁盘加密集 (DES) 时。 有关详细信息,请参阅使用客户管理的密钥对 Azure 磁盘存储进行服务器端加密
Azure 事件中心 允许访问客户管理的密钥方案的密钥保管库
Azure ExpressRoute 将 MACsec 与 ExpressRoute Direct 配合使用时
Azure 防火墙高级版 Azure 防火墙高级版证书
Azure Front Door 经典 使用适用于 HTTPS 的 Key Vault 证书
Azure Front Door 标准版/高级版 使用适用于 HTTPS 的 Key Vault 证书
Azure 导入/导出 将 Azure Key Vault 中的客户管理的密钥用于导入/导出服务
Azure 信息保护 允许访问 Azure 信息保护的租户密钥。
Azure 机器学习 在虚拟网络中为 Azure 机器学习提供保护
Azure NetApp 文件 允许访问 Azure Key Vault 中的客户管理的密钥
Azure Policy 扫描 适用于存储在数据平面中的机密和密钥的控制平面策略
Azure 资源管理器模板部署服务 在部署期间传递安全值
Azure 服务总线 允许访问客户管理的密钥方案的密钥保管库
Azure SQL 数据库 使用 Azure SQL 数据库和 Azure Synapse Analytics 的“创建自己的密钥”支持进行透明数据加密
Azure 存储 在 Azure Key Vault 中使用客户托管密钥进行存储服务加密
Azure Synapse Analytics 在 Azure Key Vault 中使用客户管理的密钥对数据进行加密
Azure 虚拟机部署服务 将证书从客户托管的 Key Vault 部署到 VM
Exchange Online、SharePoint Online、M365DataAtRestEncryption 允许使用客户密钥访问用于静态数据加密的客户管理密钥。
Microsoft Purview 在 Microsoft Purview 中对源身份验证使用凭据

注意

必须设置相关 Key Vault 角色分配或访问策略(旧版),才能允许相应服务获取密钥保管库的访问权限。

后续步骤