Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os endpoints de serviço da rede virtual para o Azure Key Vault permitem restringir o acesso a uma rede virtual especificada. Os pontos de extremidade também permitem restringir o acesso a uma lista de intervalos de endereços IPv4 (protocolo de Internet versão 4). Qualquer usuário que conecte o cofre de chaves de fora dessas fontes terá acesso negado.
Há uma exceção importante para essa restrição. Se um usuário tiver optado por permitir serviços Microsoft confiáveis, as conexões desses serviços serão permitidas por meio do firewall. Por exemplo, esses serviços incluem Microsoft 365 Exchange Online, Microsoft 365 SharePoint Online, Azure computação, Azure Resource Manager e Backup do Azure. Esses usuários ainda precisam apresentar um token de Microsoft Entra válido e devem ter permissões (configuradas como Azure atribuições de função RBAC ou políticas de acesso) para executar a operação solicitada. Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual.
Cenários de uso
Você pode configurar Key Vault firewalls e redes virtuais para negar o acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) por padrão. Você pode conceder acesso ao tráfego de redes virtuais Azure específicas e intervalos de endereços IP da Internet públicos, permitindo que você crie um limite de rede seguro para seus aplicativos.
Observação
Firewalls do Key Vault e regras de rede virtual só se aplicam ao plano de dados do Key Vault. Key Vault operações do plano de controle (como criar, excluir e modificar operações, definir políticas de acesso, definir firewalls e regras de rede virtual e implantação de segredos ou chaves por meio de modelos do ARM) não são afetadas por firewalls e regras de rede virtual.
Seguem alguns exemplos de como é possível usar pontos de extremidade de serviço:
- Você está usando Key Vault para armazenar chaves de criptografia, segredos do aplicativo e certificados e deseja bloquear o acesso aos seus key vault da Internet pública.
- Você quer bloquear o acesso ao seu cofre de chaves para que apenas o seu aplicativo ou uma pequena lista de hosts designados possa conectar o cofre de chaves.
- Você tem um aplicativo em execução em sua rede virtual Azure e essa rede virtual está bloqueada para todo o tráfego de entrada e saída. Seu aplicativo ainda precisa se conectar a Key Vault buscar segredos ou certificados ou usar chaves criptográficas.
Conceder acesso a serviços de Azure confiáveis
Você pode conceder acesso a serviços de Azure confiáveis ao cofre de chaves, mantendo regras de rede para outros aplicativos. Esses serviços confiáveis usarão a autenticação forte para se conectar com segurança ao cofre de chaves.
Você pode conceder acesso a serviços de Azure confiáveis definindo as configurações de rede. Para obter diretrizes passo a passo, consulte Configure network security for Azure Key Vault.
Ao conceder acesso a serviços de Azure confiáveis, você concede os seguintes tipos de acesso:
- Acesso confiável para operações select para recursos que são registrados em sua assinatura.
- Acesso confiável a recursos com base em uma identidade gerenciada.
- Acesso confiável entre locatários usando uma credencial de identidade federada
Serviços confiáveis
Segue uma lista de serviços confiáveis que poderão acessar um cofre de chaves se a opção Permitir serviços confiáveis estiver habilitada.
| Serviço confiável | Cenários de uso compatíveis |
|---|---|
| Gerenciamento de API do Azure | Implantar certificados para um Domínio Personalizado a partir do Key Vault usando MSI |
| Serviço de Aplicativo do Azure | O App Service é confiável apenas para implantação de certificado de aplicativo web do Azure através do Key Vault. Para o aplicativo individual, os IPs de saída podem ser adicionados às regras baseadas em IP do Key Vault. |
| Gateway de Aplicativo do Azure | Usando certificados do Key Vault para ouvintes com HTTPS habilitado |
| Backup do Azure | Permitir backup e restauração de chaves e segredos relevantes durante Máquinas Virtuais do Azure backup usando Backup do Azure. |
| Lote do Azure | Configurar chaves gerenciadas pelo cliente para contas do Lote e Cofre de chaves para contas do Lote da assinatura do usuário |
| Azure Serviço de Bot | criptografia de dados em repouso para o Serviço de Bot de IA do Azure |
| CDN do Azure | Configurar HTTPS em um domínio personalizado CDN do Azure: conceder acesso CDN do Azure ao cofre de chaves |
| Registro de Contêiner do Azure | Criptografia do registro usando chaves gerenciadas pelo cliente |
| Azure Data Factory | Buscar credenciais de armazenamento de dados no Key Vault por meio do Data Factory |
| Repositório Azure Data Lake | Criptografia de dados no Azure Data Lake Store com uma chave gerenciada pelo cliente. |
| Azure Gerenciador de Dados para Agricultura | Armazenar e usar suas próprias chaves de licença |
| Servidor Único do Banco de Dados do Azure para MySQL | Criptografia de dados do servidor individual do Banco de Dados do Azure para MySQL |
| Azure Database para servidores MySQL flexíveis | Criptografia de dados para Banco de Dados do Azure para MySQL servidor flexível |
| Servidor individual do Banco de Dados do Azure para PostgreSQL | Criptografia de dados do servidor individual do Banco de Dados do Azure para PostgreSQL |
| Servidor Flexível do Banco de Dados do Azure para PostgreSQL | Criptografia de dados do servidor flexível do Banco de Dados do Azure para PostgreSQL |
| Azure Databricks | Serviço de análise rápida, fácil e colaborativa, com base no Apache Spark |
| Azure Disk Encryption serviço de criptografia de volumes | Permitir acesso à Chave BitLocker (Windows VM) ou à Senha de DM (VM linux) e à chave de criptografia de chave durante a implantação da máquina virtual. Isso habilita Azure Disk Encryption. |
| Armazenamento em Disco do Azure | Quando configurado com um DES (Conjunto de Criptografia de Disco). Para obter mais informações, consulte Criptografia no lado do servidor do Armazenamento de Disco do Azure usando chaves gerenciadas pelo cliente. |
| Hubs de Eventos do Azure | Permitir o acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente |
| Azure ExpressRoute | Durante o uso do MACsec com o ExpressRoute Direct |
| Firewall do Azure Premium | Certificados do Firewall do Azure Premium |
| Azure Front Door Clássico | Usando certificados do Key Vault para HTTPS |
| Azure Front Door Standard/Premium | Usando certificados do Key Vault para HTTPS |
| Importação/Exportação do Azure | Use chaves gerenciadas pelo cliente no serviço de Importação/Exportação do Azure Key Vault |
| Proteção de Informações do Azure | Permitir acesso à chave de locatário para Proteção de Informações do Azure. |
| Azure Machine Learning | Secure Azure Machine Learning em uma rede virtual |
| Azure Monitor | Acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente do cluster dedicado do Log Analytics |
| Azure NetApp Files | Permitir o acesso a chaves gerenciadas pelo cliente no Azure Key Vault |
| Escaneamento de Política do Azure | Controlar políticas de plano para segredos, chaves armazenadas no plano de dados |
| Serviço de implantação do modelo do Azure Resource Manager | Transmite valores seguros durante a implantação. |
| Barramento de Serviço do Azure | Permitir o acesso a um cofre de chaves para o cenário de chaves gerenciadas pelo cliente |
| Banco de Dados SQL do Azure | Criptografia de Dados Transparente com suporte para Traga Sua Própria Chave no Banco de Dados SQL do Azure e Azure Synapse Analytics. |
| Armazenamento do Azure | Storage Service Encryption usando chaves gerenciadas pelo cliente em Azure Key Vault. |
| Azure Synapse Analytics | Encryption de dados usando chaves gerenciadas pelo cliente no Azure Key Vault |
| Serviço de implantação do Máquinas Virtuais do Azure | Implantar certificados em VMs do Key Vault gerenciado pelo cliente. |
| Exchange Online, SharePoint Online, M365DataAtRestEncryption | Permitir o acesso a chaves gerenciadas pelo cliente para criptografia de dados em repouso com Chave do Cliente. |
| Microsoft PowerPlatform | Criptografia de dados no Power Platform usando chaves gerenciadas pelo cliente. |
| Microsoft Purview | Uso de credenciais para autenticação de origem no Microsoft Purview |
Observação
Você deve configurar o RBAC do Azure relevante para atribuições de função ou políticas de acesso (legadas) do Key Vault para permitir que os serviços correspondentes acessem o Key Vault.
Próximas etapas
- Para obter instruções passo a passo, consulte Configure network security for Azure Key Vault.
- Para obter as melhores práticas de segurança, consulte Secure seu Azure Key Vault.