Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Конечные точки службы виртуальной сети для Azure Key Vault позволяют ограничить доступ к указанной виртуальной сети. Также эти конечные точки позволяют ограничить доступ определенным набором диапазонов адресов IPv4 (протокол IP версии 4). Для любого пользователя, подключающегося к хранилищу ключей из вне этих источников, доступ будет запрещен.
Из этого ограничения есть одно важное исключение. Если пользователь выбрал разрешить доверенные службы Microsoft, подключения из этих служб разрешаются через брандмауэр. Например, эти службы включают Microsoft 365 Exchange Online, Microsoft 365 SharePoint Online, Azure вычисления, Azure Resource Manager и Azure Backup. Такие пользователи всё равно должны предоставлять действительный токен Microsoft Entra и иметь разрешения (настроенные как назначения ролей в Azure RBAC или политики доступа) для выполнения запрошенной операции. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.
Сценарии использования
По умолчанию можно настроить брандмауэры и виртуальные сети Key Vault запретить доступ ко всем сетям (включая интернет-трафик). Вы можете предоставить доступ к трафику из определенных Azure виртуальных сетей и диапазонов общедоступных IP-адресов Интернета, что позволяет создавать безопасную сетевую границу для приложений.
Примечание.
Брандмауэры и правила виртуальной сети Key Vault применяются только к плоскости данных Key Vault. Key Vault операции уровня управления (например, создание, удаление и изменение операций, установка политик доступа, параметры брандмауэров и правила виртуальной сети и развертывание секретов или ключей с помощью шаблонов ARM) не влияют на брандмауэры и правила виртуальной сети.
Ниже приведены некоторые примеры использования конечных точек службы.
- Вы используете Key Vault для хранения ключей шифрования, секретов приложений и сертификатов, а также для блокировки доступа к key vault из общедоступного Интернета.
- Если вы хотите ограничить доступ к хранилищу ключей, чтобы к нему могли подключаться только ваше приложение или небольшой список назначенных хостов.
- У вас есть приложение, работающее в Azure виртуальной сети, и эта виртуальная сеть заблокирована для всего входящего и исходящего трафика. Приложение по-прежнему должно подключаться к Key Vault для получения секретов или сертификатов или использования криптографических ключей.
Предоставление доступа к доверенным службам Azure
Вы можете предоставить доступ к доверенным Azure службам в хранилище ключей, сохраняя правила сети для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для безопасного подключения к хранилищу ключей.
Вы можете предоставить доступ к доверенным службам Azure, настроив параметры сети. Пошаговые инструкции см. в статье Configure network security for Azure Key Vault.
Когда вы предоставляете доступ к доверенным службам Azure, вы предоставляете следующие типы доступа:
- Доверенный доступ для некоторых операций к ресурсам, зарегистрированным в вашей подписке.
- Доверенный доступ к ресурсам, основанный на управляемом удостоверении.
- Доверенный доступ между клиентами с помощью учетных данных федеративного удостоверения
Доверенные службы
Ниже приведен список доверенных служб, которые получают доступ к хранилищу ключей, если включен соответствующий параметр.
| Доверенная служба | Поддерживаемые сценарии использования |
|---|---|
| Azure API Management | Развертывание сертификатов для пользовательского домена из Key Vault с помощью MSI |
| Служба приложений Azure | Служба приложений доверена только для развертывания сертификата веб-приложения Azure через Key Vault; для самого приложения можно добавить исходящие IP-адреса в правила Key Vault, основанные на IP. |
| Шлюз приложений Azure | Использование сертификатов Key Vault для прослушивателей с поддержкой HTTPS |
| Azure Backup | Разрешить резервное копирование и восстановление соответствующих ключей и секретов во время резервного копирования Виртуальные машины Azure с помощью Azure Backup. |
| пакетная служба Azure | Настройка ключей, управляемых клиентом, для учетных записей Batch и Key Vault для учетных записей Batch в подписке пользователя |
| Azure Служба Bot | Шифрование данных в состоянии покоя в Служба ботов ИИ Azure |
| Azure CDN | Настройка протокола HTTPS в пользовательском домене Azure CDN: предоставьте Azure CDN доступ к хранилищу ключей Azure |
| Реестр контейнеров Azure | Шифрование реестра с использованием управляемых клиентом ключей. |
| Фабрика данных Azure | Получить учетные данные хранилища в Key Vault из Data Factory |
| Магазин Azure Data Lake | Шифрование данных в хранилище Azure Data Lake с ключом, управляемым клиентом. |
| Менеджер данных Azure для сельского хозяйства | Хранение и использование собственных ключей лицензий |
| База данных Azure для MySQL отдельный сервер | Шифрование данных для базы данных Azure для MySQL в режиме одного сервера |
| Гибкий сервер База данных Azure для MySQL | Шифрование данных для сервера База данных Azure для MySQL с гибкой настройкой |
| База данных Azure для PostgreSQL отдельный сервер | Шифрование данных для односерверного База данных Azure для PostgreSQL |
| Гибкий сервер База данных Azure для PostgreSQL | Шифрование данных для гибкого сервера База данных Azure для PostgreSQL |
| Azure Databricks | Быстрая и простая служба аналитики на основе Apache Spark для совместной работы. |
| служба шифрования томов Шифрование дисков Azure | Разрешить доступ к ключу BitLocker (Windows виртуальной машине) или парольной фразе DM (виртуальной машине Linux) и ключу шифрования ключей во время развертывания виртуальной машины. Это включает Шифрование дисков Azure. |
| Хранилище дисков Azure | При настройке с набором шифрования дисков (DES). Дополнительные сведения см. в разделе Серверное шифрование Хранилище дисков Azure с помощью ключей, управляемых клиентом. |
| Центры событий Azure | Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами. |
| Azure ExpressRoute | При использовании MACsec с ExpressRoute Direct |
| Брандмауэр Azure Premium | Сертификаты Брандмауэр Azure Premium |
| Azure Front Door классический | Using Key Vault certificates for HTTPS |
| Azure Front Door категории "Стандартный" или "Премиум" | Using Key Vault certificates for HTTPS |
| Azure Импорт/Экспорт | Использовать ключи, управляемые клиентом, в Azure Key Vault для службы импорта и экспорта |
| Azure Information Protection | Разрешить доступ к ключу клиента для Azure Information Protection. |
| Машинное обучение Azure | Secure Машинное обучение Azure в виртуальной сети |
| Azure Monitor | Log Analytics выделенный кластер доступ к хранилищу ключей для сценария с ключами, управляемыми клиентом |
| Azure NetApp Files (облачный сервис хранения файлов) | Разрешить доступ к ключам, управляемым клиентом, в Azure Key Vault |
| проверка политики Azure | Политики контрольной плоскости для секретов и ключей, хранящихся в плоскости данных |
| служба развертывания шаблонов Azure Resource Manager | Передача защищенных значений в процессе развертывания. |
| Служебная шина Azure | Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами. |
| База данных SQL Azure | прозрачное шифрование данных с поддержкой собственных ключей для База данных SQL Azure и Azure Synapse Analytics. |
| служба хранилища Azure | Шифрование службы хранения с ключами, управляемыми клиентом, в Azure Key Vault. |
| Azure Synapse Analytics | Шифрование данных с помощью управляемых клиентом ключей в Azure Key Vault |
| служба развертывания Виртуальные машины Azure | Развернуть сертификаты на виртуальные машины из хранилища ключей, управляемого клиентом. |
| Exchange Online, SharePoint Online, M365DataAtRestEncryption | Разрешение доступа к ключам, управляемым клиентом, для шифрования неактивных данных с помощью ключа клиента. |
| Майкрософт PowerPlatform | Шифрование данных в Power Platform с помощью ключей, управляемых клиентом. |
| Microsoft Purview | Использование учетных данных для аутентификации источника в Microsoft Purview |
Примечание.
Необходимо настроить соответствующий Azure RBAC для назначения ролей для Key Vault или политик доступа (устаревших), чтобы соответствующие службы могли получить доступ к Key Vault.
Следующие шаги
- Пошаговые инструкции см. в разделе Configure network security for Azure Key Vault.
- Рекомендации по обеспечению безопасности см. в разделе Secure Azure Key Vault.