ネットワーク レベルでセキュリティ保護された Azure KeyVault があります。特定の 2 つの vnet/サブネットからの接続のみを許可します。
ただし、Web アプリの 1 つ (サブネット外) でも KeyVault からシークレットを取得できるようにする必要があります。Web アプリがシークレットを取得して一覧表示できるように、アクセス ポリシーを追加しました。
Allow trusted Microsoft services to bypass this firewall?この設定で、App Service が KeyVault にアクセスできるようになると思いました(同じサブスクリプション内にあります)。どうやらそうではないようです。
ファイアウォール ルールを維持し、Web アプリがシークレットを取得できるようにするには、どのような設定を使用すればよいですか?
答え1
最も簡単な方法は、Web アプリの「送信 IP」リスト (Web アプリのブレードのプロパティ セクションにあります) を Key Vault のファイアウォールに追加することです。
答え2
送信 IP を使用するのが最も簡単なオプションであり、認証と組み合わせることでリスクがかなり制限されることに同意します。
しかし、最も安全なオプションは、vnet 統合ウェブアプリで。これにより、VNET内のリソースにアクセスできるようになります。キーボールトのファイアウォールでこの VNET をホワイトリストに登録する、キーボールトに安全にアクセスできるようになります。