設定 Azure Key Vault 防火牆和虛擬網路
本文件詳細說明 Azure 金鑰保存庫 防火牆的不同設定。 若要遵循如何設定這些設定的逐步指示,請參閱設定 Azure Key Vault 網路設定。
如需詳細資訊,請參閱 Azure Key Vault 的虛擬網路服務端點。
防火牆設定
本節涵蓋 Azure 金鑰保存庫 防火牆可設定的不同方式。
停用 Key Vault 防火牆 (預設)
根據預設,當您建立新的金鑰保存庫時,Azure Key Vault 防火牆將會停用。 所有應用程式和 Azure 服務都可以存取金鑰保存庫,並傳送要求至金鑰保存庫。 這項設定並不表示任何使用者都能對您的金鑰保存庫執行作業。 金鑰保存庫仍會透過要求 Microsoft Entra 驗證和存取原則權限,來限制存取金鑰保存庫中的祕密、金鑰和憑證。 若要更詳細地瞭解金鑰保存庫驗證,請參閱 Azure Key Vault 中的 驗證。 如需詳細資訊,請參閱存取防火牆後方的 Azure Key Vault。
啟用 Key Vault 防火牆 (僅限受信任服務)
當您啟用 金鑰保存庫 防火牆時,系統會提供 [允許受信任的Microsoft服務略過此防火牆] 的選項。 信任的服務清單不包含每個單一 Azure 服務。 例如,Azure DevOps 就不在受信任服務清單中。 這並不表示信任的服務清單中未列出的服務不受信任或不安全。 受信任服務清單包含的服務,皆是由 Microsoft 控制所有在服務中執行的程式碼。 由於使用者可在 Azure 服務 (例如 Azure DevOps) 中撰寫自訂程式碼,因此 Microsoft 不會提供為服務建立總括核准的選項。 此外,就算某個服務出現在受信任服務清單中,也不表示該服務允許用於所有案例。
若要判斷您嘗試使用的服務是否位於受信任的服務清單中,請參閱 Azure Key Vault 的虛擬網路服務端點。 如需操作指南,請遵循入口網站、Azure CLI 和 PowerShell 的 指示
啟用 Key Vault 防火牆 (IPv4 位址和範圍 - 靜態 IP)
如果您想要授權特定服務透過 Key Vault 防火牆存取金鑰保存庫,您可以將其 IP 位址新增至金鑰保存庫防火牆的允許清單中。 此設定最適合使用靜態 IP 位址或已知範圍的服務。 在此情況下,會有 1000 CIDR 範圍的限制。
若要允許某個 Azure 資源 (例如 Web 應用程式或邏輯應用程式) 的 IP 位址或範圍,請執行下列步驟。
- 登入 Azure 入口網站。
- 選取資源 (服務的特定執行個體)。
- 在 [設定]下,選取 [屬性]。
- 尋找 [IP 位址] 欄位。
- 複製此值或範圍,並將其輸入金鑰保存庫防火牆允許清單中。
若要允許整個 Azure 服務通過 Key Vault 防火牆,請在這裡使用針對 Azure 公開記載的資料中心 IP 位址清單。 在您想要的區域中,尋找與您要使用的服務相關聯的 IP 位址,並將這些 IP 位址新增至金鑰保存庫防火牆。
啟用 Key Vault 防火牆 (虛擬網路 - 動態 IP)
如果您嘗試允許虛擬機器之類的 Azure 資源存取金鑰保存庫,您可能無法使用靜態 IP 位址,且您可能不想要讓 Azure 虛擬機器的所有 IP 位址都能存取金鑰保存庫。
在此情況下,您應該在虛擬網路內建立該資源,然後允許特定虛擬網路和子網路的流量存取您的金鑰保存庫。
- 登入 Azure 入口網站。
- 選取您要設定的金鑰保存庫。
- 選取 [網路] 刀鋒視窗。
- 選取 [+ 新增現有的虛擬網路]。
- 選取要允許透過金鑰保存庫防火牆的虛擬網路和子網路。
啟用 Key Vault 防火牆 (Private Link)
若要瞭解如何在金鑰保存庫上設定私人連結連線,請參閱這裡的檔。
重要
防火牆規則生效後,使用者只能在其要求源自允許的虛擬網路或 IPV4 位址範圍時,才可以執行 Key Vault 資料平面作業。 這也適用於從 Azure 入口網站存取 Key Vault。 儘管使用者可以從 Azure 入口網站瀏覽至金鑰保存庫,若他們的用戶端機器不在允許清單中,就可能無法列出金鑰、祕密或憑證。 這也會影響其他 Azure 服務所使用的 [金鑰保存庫選擇器]。 使用者可以看到金鑰保存庫清單,但是如果防火牆規則阻止其用戶端電腦,就不會列出金鑰。
注意
請留意下列設定限制:
- 最多允許 200 條虛擬網路規則和 1000 條 IPv4 規則。
- 僅允許將 IP 網路規則用於公用 IP 位址。 IP 規則中不允許保留私人網路的 IP 位址範圍 (如 RFC 1918 中所定義)。 私人網路包括以 10.、172.16-31 和 192.168. 開頭的位址。
- 目前僅支援 IPv4 位址。
停用公用存取 (僅限私人端點)
若要增強網路安全性,您可以設定保存庫以停用公用存取。 這會拒絕所有公用組態,並只允許透過私人端點進行連線。
網路安全性周邊 (預覽)
網路安全性周邊(預覽版)可讓組織定義 PaaS 資源的邏輯網路隔離界限(例如 Azure 金鑰保存庫、Azure 儲存體 和 SQL 資料庫),這些界限部署在組織虛擬網路外部。 它會限制對周邊外部 PaaS 資源的公用網路存取,可以使用公用輸入和輸出的明確存取規則來豁免存取。
目前,網路安全周邊已公開預覽資源子集。 請參閱上線的私人鏈接資源和網路安全性周邊的限制。 如需詳細資訊,請參閱 轉換至網路安全性周邊。
重要
私人端點流量被視為高度安全,因此不受網路安全性周邊規則約束。 如果密鑰保存庫與周邊相關聯,所有其他流量,包括受信任的服務,都將受限於網路安全性周邊規則。
使用網路安全性周邊:
- 周邊內的所有資源都可以與周邊內的任何其他資源通訊。
- 外部存取可供下列控制項使用:
- 您可以使用用戶端的網路和身分識別屬性來核准公用輸入存取,例如來源IP位址、訂用帳戶。
- 您可以使用外部目的地的 FQDN(完整功能變數名稱)來核准公用輸出。
- 針對稽核與合規性周邊內的 PaaS 資源啟用診斷記錄。
限制和考慮
- 將 [公用網络存取] 設定為 [停用] 仍然允許受信任的服務。 將 [公用網络存取] 切換為 [依周邊保護],即使設定為允許受信任的服務,仍禁止信任的服務。
- Azure 金鑰保存庫 防火牆規則僅適用於數據平面作業。 控制平面作業不遵循防火牆規則中指定的限制。
- 若要使用 Azure 入口網站 之類的工具來存取數據,您必須在設定網路安全性規則時所建立信任界限內的計算機上。
- Azure 金鑰保存庫 沒有輸出規則的概念,您仍然可以將密鑰保存庫與輸出規則建立關聯,但密鑰保存庫不會使用這些規則。
建立網路安全周邊與密鑰保存庫的關聯 - Azure PowerShell
若要將網路安全性周邊與 Azure PowerShell 中的密鑰保存庫產生關聯,請遵循這些 指示。
建立網路安全周邊與金鑰保存庫的關聯 - Azure CLI
若要將網路安全周邊與 Azure CLI 中的金鑰保存庫產生關聯,請遵循下列 指示
網路安全性周邊存取模式
網路安全性周邊支援兩種不同的相關聯資源的存取模式:
| 模式 | 說明 |
|---|---|
| 學習模式 | 默認存取模式。 在 學習 模式中,網路安全性周邊會將所有流量記錄到已拒絕的搜尋服務,如果周邊處於強制模式,則為 。 這可讓網路管理員先瞭解搜尋服務的現有存取模式,再實作強制執行存取規則。 |
| 強制模式 | 在 強制 模式中,網路安全性周邊記錄並拒絕存取規則未明確允許的所有流量。 |
網路安全性周邊和金鑰保存庫網路設定
此 publicNetworkAccess 設定會決定金鑰保存庫與網路安全性周邊的關聯。
在學習模式中,設定
publicNetworkAccess會控制資源的公用存取。在 [強制模式] 中
publicNetworkAccess,網路安全性周邊規則會覆寫設定。 例如,如果 具有publicNetworkAccess設定enabled的搜尋服務與 [強制執行] 模式中的網路安全性周邊相關聯,則搜尋服務的存取仍由網路安全性周邊存取規則控制。
變更網路安全性周邊存取模式
在入口網站中流覽至您的網路安全性周邊資源。
選取 左側功能表中的 [資源 ]。
在資料表中尋找您的金鑰保存庫。
選取搜尋服務數據列最右邊的三個點。 在彈出視窗中選取 [變更存取模式 ]。
選取所需的存取模式,然後選取 [ 套用]。
啟用記錄網路存取
請參閱 網路安全性周邊的診斷記錄。
參考資料
- ARM 範本參考:Azure Key Vault ARM 範本參考
- Azure CLI 命令:az keyvault network-rule
- Azure PowerShell Cmdlet:Get-AzKeyVault、Add-AzKeyVaultNetworkRule、Remove-AzKeyVaultNetworkRule、Update-AzKeyVaultNetworkRuleSet