この記事では、他のアプリケーションや Azure サービスと連携するように Azure Key Vault ネットワーク設定を構成する方法について説明します。 さまざまなネットワーク セキュリティ構成の詳細については、 こちらを参照してください。
Azure portal、Azure CLI、Azure PowerShell を使用して Key Vault ファイアウォールと仮想ネットワークを構成する手順を次に示します。
- セキュリティで保護したいキー ボールトにアクセスします。
-
[ネットワーク] を選択してから、 [ファイアウォールと仮想ネットワーク] タブを選択します。
-
[許可するアクセス元] の [選択されたネットワーク] を選択します。
- 既存の仮想ネットワークをファイアウォールと仮想ネットワークの規則に追加するには、 [+ 既存の仮想ネットワークを追加] を選択します。
- 表示される新しいブレードで、このキー コンテナーへのアクセスを許可するサブスクリプション、仮想ネットワーク、サブネットを選択します。 選択する仮想ネットワークとサブネットでサービス エンドポイントが有効になっていない場合は、サービス エンドポイントを有効にする必要があることを確認して、 [有効] を選択します。 有効になるまでに最大 15 分かかることがあります。
-
[IP ネットワーク] で、CIDR (クラスレスドメイン間ルーティング) 表記または個々の IP アドレスに「IPv4 アドレス範囲」と入力して、IPv4 アドレス範囲を追加します。
- 信頼された Microsoft サービスが Key Vault ファイアウォールをバイパスすることを許可する場合には、[はい] を選択します。 Key Vault で現在信頼されているサービスの完全な一覧については、次のリンクを参照してください。 Azure Key Vault Trusted Services
-
保存 を選択します。
[+ 新しい仮想ネットワークを追加] を選択し、新しい仮想ネットワークとサブネットを追加して、新しく作成した仮想ネットワークとサブネットのサービス エンドポイントを有効にすることもできます。 その後、プロンプトに従います。
Azure CLI を使用して Key Vault のファイアウォールと仮想ネットワークを構成する方法を次に示します。
Azure CLI をインストール して サインインします。
使用可能な仮想ネットワーク規則を一覧表示します。 このキー ボールトのルールを設定していない場合、一覧は空になります。
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
既存の仮想ネットワークとサブネットで Key Vault のサービス エンドポイントを有効にします。
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
仮想ネットワークとサブネットに対するネットワーク ルールを追加します。
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
トラフィックを許可する IP アドレス範囲を追加します。
az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
このキー コンテナーに信頼されたサービスからアクセスできる必要がある場合は、 bypass を AzureServices に設定します。
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
既定のアクションを Deny に設定して、ネットワーク ルールをオンにします。
az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
PowerShell を使用して Key Vault ファイアウォールと仮想ネットワークを構成する方法を次に示します。
最新の Azure PowerShell をインストールし、 サインインします。
使用可能な仮想ネットワーク規則を一覧表示します。 このキー コンテナーの規則を設定していない場合、一覧は空になります。
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
既存の仮想ネットワークとサブネットで Key Vault のサービス エンドポイントを有効にします。
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
仮想ネットワークとサブネットに対するネットワーク ルールを追加します。
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
トラフィックを許可する IP アドレス範囲を追加します。
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
このキー コンテナーに信頼されたサービスからアクセスできる必要がある場合は、 bypass を AzureServices に設定します。
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
既定のアクションを Deny に設定して、ネットワーク ルールをオンにします。
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
リファレンス
次のステップ