Este artigo fornecerá orientações sobre como configurar as configurações de rede do Cofre da Chave do Azure para trabalhar com outros aplicativos e serviços do Azure. Para saber mais sobre as diferentes configurações de segurança de rede em detalhes, leia aqui.
Aqui estão instruções passo a passo para configurar o firewall do Cofre da Chave e redes virtuais usando o portal do Azure, a CLI do Azure e o Azure PowerShell
- Navegue para o cofre de chaves que deseja proteger.
- Selecione Rede e, em seguida, selecione a guia Firewalls e redes virtuais.
- Em Permitir acesso de, selecione Redes selecionadas.
- Para adicionar redes virtuais existentes a firewalls e regras de rede virtual, selecione + Adicionar redes virtuais existentes.
- Na nova janela que se abre, selecione a subscrição, as redes virtuais e as sub-redes para permitir o acesso a este cofre de chaves. Se as redes virtuais e sub-redes selecionadas não tiverem pontos de extremidade de serviço habilitados, confirme se deseja habilitar pontos de extremidade de serviço e selecione Habilitar. Pode levar até 15 minutos para fazer efeito.
- Em Redes IP, adicione intervalos de endereços IPv4 digitando intervalos de endereços IPv4 na notação CIDR (Roteamento entre domínios sem classe) ou endereços IP individuais.
- Se quiser permitir que o Microsoft Trusted Services ignore o Firewall do Cofre da Chave, selecione 'Sim'. Para obter uma lista completa dos atuais Serviços Confiáveis do Cofre de Chaves, consulte o link a seguir.
Serviços Confiáveis do Azure Key Vault
- Selecione Guardar.
Você também pode adicionar novas redes virtuais e sub-redes e, em seguida, habilitar pontos de extremidade de serviço para as redes virtuais e sub-redes recém-criadas, selecionando + Adicionar nova rede virtual. Em seguida, siga as instruções.
Veja como configurar firewalls do Cofre da Chave e redes virtuais usando a CLI do Azure
Instale a CLI do Azure e entre.
Listar regras de rede virtual disponíveis. Se você não tiver definido nenhuma regra para esse cofre de chaves, a lista ficará vazia.
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
Ative um ponto de extremidade de serviço para o Key Vault em uma rede virtual e sub-rede existentes.
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
Adicione uma regra de rede para uma rede virtual e uma sub-rede.
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
Adicione um intervalo de endereços IP a partir do qual permitir o tráfego.
az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
Se esse cofre de chaves deve ser acessível por quaisquer serviços confiáveis, defina bypass como AzureServices.
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
Ative as regras de rede definindo a ação padrão como Deny.
az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
Veja como configurar firewalls e redes virtuais do Cofre da Chave usando o PowerShell:
Instale o Azure PowerShell mais recente e entre.
Listar regras de rede virtual disponíveis. Se você não tiver definido nenhuma regra para este cofre de chaves, a lista estará vazia.
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
Habilite o ponto de extremidade de serviço para o Cofre da Chave em uma rede virtual e sub-rede existentes.
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
Adicione uma regra de rede para uma rede virtual e uma sub-rede.
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
Adicione um intervalo de endereços IP a partir do qual permitir o tráfego.
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
Se esse cofre de chaves deve ser acessível por quaisquer serviços confiáveis, defina bypass como AzureServices.
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
Ative as regras de rede definindo a ação padrão como Deny.
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
Referências
Próximos passos