Restringir el acceso desde Azure Vault solo a App Services en producción

Question 1

En primer lugar, la función Puntos finales del servicio de red virtual para Key Vault aún está en versión preliminar. Se recomienda encarecidamente no utilizar esta función en ningún escenario de producción.

En este caso, es posible que deba permitir la conexión desde la red virtual o los rangos de direcciones IP públicas en los que se encuentra su aplicación para evitar el firewall.

De acuerdo con sus políticas de acceso a imágenes, usted niega el acceso al tráfico de todas las redes. A cualquier persona que llame fuera de esas fuentes se le negará el acceso, excepto la opción predeterminada.Servicios confiables de Microsoft. Lo que significa que estas conexiones de esos servicios permitirán atravesar el firewall, pero dichas personas aún deben presentar un token AAD válido y tener permisos para realizar la operación solicitada.

Además, App Services llegará pronto, no puedo encontrarlo en la página actual.Servicios confiables de Microsoft. Para App Services, solo se admiten instancias de ASE (App Service Environment).

Árbitro:Anuncio de puntos finales de servicio de red virtual para Key Vault (versión preliminar)

Actualización1

De estoenlaceproporcionaste en el comentario.

Si desea restringir el acceso a la red a los recursos PaaS, puede asegurarse de habilitar el punto final de servicio específico: Microsoft.KeyVault en su subred específica. Además, la subred está permitida si seleccionó redes. Puedes obtener más detalles de esto.tutorial.

Si usa Azure Managed Service Identity en App Service, debe asegurarse de haber agregado una política de acceso queincluye la identidad de su aplicación. Referirse aeste.

Actualización2

En este caso, si solo desea permitir que la aplicación web acceda al almacén de claves en lugar de acceder al almacén de claves desde la red local, debe agregar las direcciones IP salientes del servicio de la aplicación web al firewall del almacén de claves.

Answer

En primer lugar, la función Puntos finales del servicio de red virtual para Key Vault aún está en versión preliminar. Se recomienda encarecidamente no utilizar esta función en ningún escenario de producción.

En este caso, es posible que deba permitir la conexión desde la red virtual o los rangos de direcciones IP públicas en los que se encuentra su aplicación para evitar el firewall.

De acuerdo con sus políticas de acceso a imágenes, usted niega el acceso al tráfico de todas las redes. A cualquier persona que llame fuera de esas fuentes se le negará el acceso, excepto la opción predeterminada.Servicios confiables de Microsoft. Lo que significa que estas conexiones de esos servicios permitirán atravesar el firewall, pero dichas personas aún deben presentar un token AAD válido y tener permisos para realizar la operación solicitada.

Además, App Services llegará pronto, no puedo encontrarlo en la página actual.Servicios confiables de Microsoft. Para App Services, solo se admiten instancias de ASE (App Service Environment).

Árbitro:Anuncio de puntos finales de servicio de red virtual para Key Vault (versión preliminar)

Actualización1

De estoenlaceproporcionaste en el comentario.

Si desea restringir el acceso a la red a los recursos PaaS, puede asegurarse de habilitar el punto final de servicio específico: Microsoft.KeyVault en su subred específica. Además, la subred está permitida si seleccionó redes. Puedes obtener más detalles de esto.tutorial.

Si usa Azure Managed Service Identity en App Service, debe asegurarse de haber agregado una política de acceso queincluye la identidad de su aplicación. Referirse aeste.

Actualización2

En este caso, si solo desea permitir que la aplicación web acceda al almacén de claves en lugar de acceder al almacén de claves desde la red local, debe agregar las direcciones IP salientes del servicio de la aplicación web al firewall del almacén de claves.

Question 2

Si usa Managed Service Identity (MSI) con su servicio de aplicaciones, puede otorgar acceso a esa identidad de Azure AD en sus políticas de Key Vault y no tiene que mantener las credenciales codificadas en su aplicación.https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/

Con respecto a restringir el acceso a la red/punto final a su bóveda de claves, Nancy tiene la respuesta correcta para usar "Servicios de confianza de Microsoft".https://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpointsEl servicio de aplicaciones es un servicio confiable para Key Vault.

Answer

Si usa Managed Service Identity (MSI) con su servicio de aplicaciones, puede otorgar acceso a esa identidad de Azure AD en sus políticas de Key Vault y no tiene que mantener las credenciales codificadas en su aplicación.https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/

Con respecto a restringir el acceso a la red/punto final a su bóveda de claves, Nancy tiene la respuesta correcta para usar "Servicios de confianza de Microsoft".https://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpointsEl servicio de aplicaciones es un servicio confiable para Key Vault.

Restringir el acceso desde Azure Vault solo a App Services en producción

Respuesta1

Actualización1

Actualización2

Respuesta2

información relacionada