Delen via

Service-eindpunten voor virtuele netwerken voor Azure Key Vault

Met de service-eindpunten van het virtuele netwerk voor Azure Key Vault kunt u de toegang tot een opgegeven virtueel netwerk beperken. Met de eindpunten kunt u ook de toegang tot een lijst met IPv4-adresbereiken (internetprotocol versie 4) beperken. Elke gebruiker die verbinding maakt met uw sleutelkluis van buiten deze bronnen, heeft geen toegang.

Er is één belangrijke uitzondering op deze beperking. Als een gebruiker zich heeft aangemeld om vertrouwde Microsoft-services toe te staan, zijn verbindingen van deze services toegestaan via de firewall. Deze services omvatten bijvoorbeeld Microsoft 365 Exchange Online, Microsoft 365 SharePoint Online, Azure compute, Azure Resource Manager en Azure Backup. Dergelijke gebruikers moeten nog steeds een geldig Microsoft Entra token presenteren en moeten machtigingen hebben (geconfigureerd als Azure RBAC-roltoewijzingen of toegangsbeleid) om de aangevraagde bewerking uit te voeren. Zie Service-eindpunten voor virtuele netwerken voor meer informatie.

Gebruiksscenario's

U kunt Key Vault firewalls en virtuele netwerken configureren om de toegang tot verkeer van alle netwerken (inclusief internetverkeer) standaard te weigeren. U kunt toegang verlenen tot verkeer van specifieke Azure virtuele netwerken en openbare IP-adresbereiken voor internet, zodat u een veilige netwerkgrens voor uw toepassingen kunt bouwen.

Notitie

Key Vault firewalls en regels voor virtuele netwerken zijn alleen van toepassing op het gegevensvlak van Key Vault. Key Vault besturingsvlakbewerkingen (zoals bewerkingen voor maken, verwijderen en wijzigen, toegangsbeleid instellen, firewalls instellen en regels voor virtuele netwerken en implementatie van geheimen of sleutels via ARM-sjablonen) worden niet beïnvloed door firewalls en regels voor virtuele netwerken.

Hier volgen enkele voorbeelden van hoe u service-eindpunten kunt gebruiken:

  • U gebruikt Key Vault om versleutelingssleutels, toepassingsgeheimen en certificaten op te slaan en u wilt de toegang tot uw key vault vanaf het openbare internet blokkeren.
  • U wilt de toegang tot uw sleutelkluis vergrendelen, zodat alleen uw toepassing, of een korte lijst met aangewezen hosts, verbinding kan maken met uw sleutelkluis.
  • U hebt een toepassing die wordt uitgevoerd in uw Azure virtueel netwerk en dit virtuele netwerk is vergrendeld voor al het inkomende en uitgaande verkeer. Uw toepassing moet nog steeds verbinding maken met Key Vault om geheimen of certificaten op te halen of cryptografische sleutels te gebruiken.

Toegang verlenen tot vertrouwde Azure-services

U kunt toegang verlenen tot vertrouwde Azure-services aan de sleutelkluis, terwijl u netwerkregels voor andere apps onderhoudt. Deze vertrouwde services gebruiken vervolgens sterke verificatie om veilig verbinding te maken met uw sleutelkluis.

U kunt toegang verlenen tot vertrouwde Azure-services door netwerkinstellingen te configureren. Zie Netwerkbeveiliging configureren voor Azure Key Vault voor stapsgewijze instructies.

Wanneer u toegang verleent tot vertrouwde Azure-services, verleent u de volgende typen toegang:

  • Vertrouwde toegang voor geselecteerde bewerkingen voor resources die zijn geregistreerd in uw abonnement.
  • Vertrouwde toegang tot resources op basis van een beheerde identiteit.
  • Vertrouwde toegang tussen tenants met behulp van een federatieve identiteitsreferentie

Vertrouwde services

Hier volgt een lijst met vertrouwde services die toegang hebben tot een sleutelkluis als de optie Vertrouwde services toestaan is ingeschakeld.

Vertrouwde service Ondersteunde gebruiksscenario's
Azure API Management Certificaten voor een aangepast domein implementeren vanuit Key Vault met behulp van MSI
Azure App Service App Service is alleen vertrouwd voor het implementeren van Azure Web App-certificaten via Key Vault; voor de afzonderlijke app zelf kunnen de uitgaande IP-adressen worden toegevoegd aan de IP-regels van Key Vault.
Azure Application Gateway Gebruik van Key Vault-certificaten voor HTTPS-ingeschakelde listeners
Azure Backup Sta back-up en herstel toe van relevante sleutels en geheimen tijdens de back-up van Azure Virtuele Machines met behulp van Azure Backup.
Azure Batch Door de klant beheerde sleutels configureren voor Batch-accounts en Key Vault voor Batch-accounts voor gebruikersabonnementen
Azure Bot Service Azure AI Bot Service versleuteling voor gegevens in rust
Azure CDN HTTPS configureren voor een aangepast domein van Azure CDN: ververleent Azure CDN toegang tot uw sleutelkluis
Azure Container Registry Registerversleuteling met door de klant beheerde sleutels
Azure Data Factory Haal opslagreferenties op in Key Vault vanuit Data Factory
Azure Data Lake Store Versleuteling van gegevens in Azure Data Lake Store met een door de klant beheerde sleutel.
Azure Gegevensbeheerder voor Landbouw Uw eigen licentiesleutels opslaan en gebruiken
Azure Database for MySQL enkele server Gegevensversleuteling voor Azure Database for MySQL Single Server
Azure Database voor MySQL Flexibele Server Gegevensversleuteling voor Azure Database for MySQL Flexible Server
Azure Database for PostgreSQL enkele server Data-encryptie voor Azure Database for PostgreSQL Single Server
Azure Database for PostgreSQL Flexibele Server Data-versleuteling voor Azure Database for PostgreSQL Flexible Server
Azure Databricks Snelle, eenvoudige en gezamenlijke analyseservice op basis van Apache Spark
Azure Disk Encryption versleutelingsservice voor volumes Toegang tot de BitLocker-sleutel (Windows-VM), de DM-wachtwoordzin (Linux-VM), en de versleutelsleutel toestaan tijdens de implementatie van een virtuele machine. Hiermee schakelt u Azure Disk Encryption in.
Azure Disk Storage Wanneer deze is geconfigureerd met een Schijfversleutelingsset (DES). Zie Versleuteling aan de serverzijde van Azure Disk Storage met behulp van door de klant beheerde sleutels voor meer informatie.
Azure Event Hubs Toegang tot een sleutelkluis toestaan in het scenario van klantbeheer van sleutels
Azure ExpressRoute Wanneer u MACsec gebruikt met ExpressRoute Direct
Azure Firewall Premium Azure Firewall Premium-certificaten
Azure Front Door Classic Gebruik van Key Vault-certificaten voor HTTPS
Azure Front Door Standard/Premium Gebruik Key Vault-certificaten voor HTTPS
Azure Import/Export (Importeren/Exporteren) Door de klant beheerde sleutels gebruiken in Azure Key Vault voor de import-/exportservice
Azure Information Protection Toegang tot tenantsleutel toestaan voor Azure Information Protection.
Azure Machine Learning Secure Azure Machine Learning in een virtueel netwerk
Azure Monitor Log Analytics toegewezen cluster toegang tot een sleutelkluis voor scenario met door de klant beheerde sleutels
Azure NetApp Files Toegang toestaan tot door de klant beheerde sleutels in Azure Key Vault
Azure Policy scannen Besturingsvlakbeleid voor geheimen, sleutels die zijn opgeslagen in het gegevensvlak
Azure Resource Manager-service voor sjabloonimplementatie Veilige waarden doorgeven tijdens de implementatie.
Azure Service Bus Toegang tot een sleutelkluis toestaan in het scenario van klantbeheer van sleutels
Azure SQL Database Transparent Data Encryption met Bring Your Own Key-ondersteuning voor Azure SQL Database en Azure Synapse Analytics.
Azure Storage Storage Service Encryption met door de klant beheerde sleutels in Azure Key Vault.
Azure Synapse Analytics Versleuteling van gegevens met behulp van door de klant beheerde sleutels in Azure Key Vault
Azure Virtuele Machines-implementatieservice Certificaten implementeren naar VM's vanuit een door de klant beheerde Key Vault.
Exchange Online, SharePoint Online, M365DataAtRestEncryption Toegang tot door de klant beheerde sleutels toestaan voor data-at-rest-versleuteling met de klantsleutel.
Microsoft PowerPlatform Versleuteling van gegevens in Power Platform met door de klant beheerde sleutels.
Microsoft Purview Gebruikersreferenties voor bronverificatie in Microsoft Purview

Notitie

U moet de relevante Azure RBAC instellen voor Key Vault roltoewijzingen of toegangsbeleid (verouderd) om de bijbehorende services toegang te geven tot Key Vault.

Volgende stappen

  • Last updated on