Tengo un Azure KeyVault que está protegido a nivel de red. Solo permito conexiones desde 2 vnets/subredes específicas.
Sin embargo, también quiero que una de mis aplicaciones web (fuera de las subredes) pueda recuperar secretos de KeyVault. Agregué una política de acceso para permitir que mi aplicación web obtenga y enumere secretos.
Pensé que esa configuración Allow trusted Microsoft services to bypass this firewall?sería suficiente para permitir que mi App Service acceda a KeyVault (están en la misma suscripción). Al parecer no es el caso.
¿Qué configuración debo utilizar para poder mantener las reglas de mi firewall y permitir que mi aplicación web recupere los secretos?
Respuesta1
El enfoque más simple sería agregar la lista de "IP salientes" de su aplicación web (que se encuentra en la sección de propiedades de la hoja de su aplicación web) al firewall de Key Vault.
Respuesta2
Estoy de acuerdo en que usar las IP salientes es la opción más sencilla y, junto con la autenticación, limita bastante el riesgo.
Sin embargo, la opción más segura es utilizar elintegración vneten las aplicaciones web. Esto le permitirá acceder a recursos dentro de VNET. Si ustedIncluya en la lista blanca esta VNET en el firewall de su bóveda de claves., debería poder acceder de forma segura a la bóveda de claves.