你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 密钥保管库的虚拟网络服务终结点允许限制对指定虚拟网络的访问。 此外,还可通过这些终结点将访问限制为一系列 IPv4(Internet 协议版本 4)地址范围。 任何从外部连接到 Key Vault 的用户都无法访问这些资源。
此限制有一个重要的例外情况。 如果用户已选择允许受信任的Microsoft服务,则来自这些服务的连接将被允许通过防火墙。 例如,这些服务包括Microsoft 365 Exchange Online、Microsoft 365 SharePoint Online、Azure计算、Azure 资源管理器和Azure 备份。 此类用户仍需要提供有效的Microsoft Entra令牌,并且必须具有权限(配置为 Azure RBAC 角色分配或访问策略)才能执行请求的操作。 有关详细信息,请参阅虚拟网络服务终结点。
使用方案
可以配置 密钥保管库 防火墙和虚拟网络以默认拒绝访问来自所有网络(包括 Internet 流量)的流量。 可以向来自特定Azure虚拟网络和公共 Internet IP 地址范围的流量授予访问权限,从而为应用程序构建安全网络边界。
注意
密钥保管库 防火墙和虚拟网络规则仅适用于 密钥保管库 数据平面。 密钥保管库控制平面操作(如创建、删除和修改操作、设置访问策略、设置防火墙以及通过 ARM 模板部署机密或密钥)不受防火墙和虚拟网络规则的影响。
下面是此服务终结点的一些用法示例:
- 使用 密钥保管库 存储加密密钥、应用程序机密和证书,并且想要阻止从公共互联网进行访问。
- 你希望限制访问 Key Vault,以便只有你的应用程序或指定的少部分主机才能连接到 Key Vault。
- Azure虚拟网络中运行了一个应用程序,此虚拟网络已针对所有入站和出站流量锁定。 应用程序仍需要连接到密钥保管库来提取机密或证书,或使用加密密钥。
授予对受信任Azure服务的访问权限
可以授予对密钥保管库的受信任Azure服务的访问权限,同时为其他应用维护网络规则。 然后,这些受信任的服务会使用强身份验证安全地连接到密钥保管库。
可以通过配置网络设置来授予对受信任Azure服务的访问权限。 有关分步指南,请参阅 配置 Azure 密钥保管库 网络安全。
向受信任的Azure服务授予访问权限时,可以授予以下类型的访问权限:
- 选定操作对订阅中注册的资源的受信任的访问权限。
- 基于托管标识的针对资源的受信任访问权限。
- 使用联合标识凭据进行跨租户的受信任访问
受信任服务
以下是允许访问 Key Vault 的受信服务列表(前提是启用了“允许受信任的服务”选项)。
| 受信任服务 | 支持的使用方案 |
|---|---|
| Azure API 管理 | 使用 MSI 从 密钥保管库 部署自定义域的证书 |
| Azure 应用服务 | 应用服务仅被信任用于 通过 密钥保管库 部署 Azure Web 应用证书,对于单个应用本身的出站 IP,可在 密钥保管库 的基于 IP 规则中添加。 |
| Azure 应用程序网关 | 为启用了 HTTPS 的侦听器使用密钥保管库证书 |
| Azure 备份 | 使用 Azure 备份 在Azure 虚拟机备份期间允许备份和还原相关的密钥和机密。 |
| Azure Batch | 为批处理帐户配置客户管理的密钥,并为用户订阅批处理帐户配置密钥保管库 |
| Azure 机器人服务 | Azure AI 机器人服务静态数据加密 |
| Azure CDN | 配置Azure CDN自定义域上的 HTTPS:授予对密钥保管库Azure CDN访问权限 |
| Azure 容器注册表 (Azure 容器注册表) | 使用客户管理的密钥进行注册表加密 |
| Azure 数据工厂 | 从数据工厂的密钥保管库中获取数据存储凭据 |
| Azure Data Lake Store | 使用客户管理的密钥在 Azure Data Lake Store 中加密数据。 |
| Azure农业数据管理器 | 存储并使用你自己的许可证密钥 |
| Azure Database for MySQL 单服务器 | Azure Database for MySQL 单一服务器的数据加密 |
| Azure Database for MySQL 灵活的服务器 | 对Azure Database for MySQL弹性服务器的数据进行加密 |
| Azure Database for PostgreSQL 单服务器 | 针对单一服务器的Azure Database for PostgreSQL数据加密 |
| Azure Database for PostgreSQL 的灵活服务器 | Azure Database for PostgreSQL 灵活服务器的数据加密 |
| Azure Databricks | 基于 Apache Spark 的快速、便捷且协作式分析服务 |
| Azure 磁盘加密 卷加密服务 | 允许在虚拟机部署期间访问 BitLocker 密钥(Windows VM)或 DM 密码(Linux VM)和密钥加密密钥。 这将启用 Azure 磁盘加密。 |
| Azure 磁盘存储 | 配置了磁盘加密集 (DES) 时。 有关详细信息,请参阅使用客户管理的密钥对Azure 磁盘存储进行服务器端加密。 |
| Azure 事件中心 | 允许访问客户管理的密钥场景中的密钥保管库 |
| Azure ExpressRoute | 将 MACsec 与 ExpressRoute Direct 配合使用时 |
| Azure 防火墙 Premium | Azure 防火墙高级证书 |
| Azure Front Door 经典 | 为 HTTPS 使用密钥保管库证书 |
| Azure Front Door标准/高级 | 为 HTTPS 使用密钥保管库证书 |
| Azure 导入/导出 | 在导入/导出服务Azure 密钥保管库中使用客户管理的密钥 |
| Azure 信息保护 | 允许访问 Azure 信息保护 的租户密钥。 |
| Azure 机器学习 | 虚拟网络中的 Secure Azure 机器学习 |
| Azure Monitor | Log Analytics专用群集在客户管理密钥场景中访问密钥保管库 |
| Azure NetApp 文件 | 允许访问 Azure 密钥保管库 中的客户管理密钥 |
| Azure Policy 扫描 | 适用于存储在数据平面中的机密和密钥的控制平面策略 |
| Azure 资源管理器模板部署服务 | 在部署期间传递安全值。 |
| Azure 服务总线 | 允许访问客户管理的密钥场景中的密钥保管库 |
| Azure SQL 数据库 | 透明数据加密具有对 Azure SQL 数据库 和 Azure Synapse Analytics 的“自带密钥”支持。 |
| Azure 存储 | 使用客户管理的密钥在 Azure 密钥保管库 中进行 Storage 服务加密。 |
| Azure Synapse Analytics | |
| Azure 虚拟机部署服务 | 将证书从客户管理的 密钥保管库 部署到虚拟机。 |
| Exchange Online、SharePoint Online、M365DataAtRestEncryption | 允许使用客户密钥访问用于静态数据加密的客户管理密钥。 |
| Microsoft PowerPlatform | 使用客户管理的密钥加密 Power Platform 中的数据。 |
| Microsoft Purview | 在 Microsoft Purview 中使用用于源身份验证的凭据 |
注意
必须为密钥保管库角色分配或访问策略(旧版)设置相关的Azure RBAC,以允许相应的服务访问密钥保管库。
后续步骤
- 有关分步说明,请参阅 为 Azure 密钥保管库 配置网络安全性。
- 有关安全最佳做法,请参阅 Secure Azure 密钥保管库。