Ich habe einen Azure KeyVault, der auf Netzwerkebene gesichert ist. Ich lasse nur Verbindungen von 2 bestimmten VNets/Subnetzen zu.
Ich möchte jedoch auch, dass eine meiner Web-Apps (außerhalb der Subnetze) Geheimnisse aus dem KeyVault abrufen kann. Ich habe eine Zugriffsrichtlinie hinzugefügt, mit der meine Web-App Geheimnisse abrufen und auflisten kann.
Ich dachte, diese Einstellung Allow trusted Microsoft services to bypass this firewall?würde ausreichen, um meinem App Service den Zugriff auf den KeyVault zu ermöglichen (sie befinden sich im selben Abonnement). Offensichtlich ist das nicht der Fall.
Welche Einstellung muss ich verwenden, um meine Firewall-Regeln einhalten und meiner Web-App das Abrufen der Geheimnisse ermöglichen zu können?
Antwort1
Der einfachste Ansatz besteht darin, die Liste der „Ausgehenden IPs“ Ihrer Web-App (zu finden im Eigenschaftenabschnitt des Blades Ihrer Web-App) zur Firewall des Schlüsseltresors hinzuzufügen.
Antwort2
Ich stimme zu, dass die Verwendung der ausgehenden IPs die einfachste Option ist und zusammen mit der Authentifizierung das Risiko erheblich begrenzt.
Die sicherste Option ist jedoch die Verwendung desVNET-Integrationauf den Webanwendungen. Dadurch können Sie auf Ressourcen innerhalb des VNET zugreifen. Wenn SieSetzen Sie dieses VNET in der Firewall Ihres Schlüsseltresors auf die Whitelist, sollten Sie sicher auf den Schlüsseltresor zugreifen können.