답변1
첫째, Key Vault용 가상 네트워크 서비스 엔드포인트 기능은 아직 미리 보기 상태입니다. 프로덕션 시나리오에서는 이 기능을 사용하지 않는 것이 좋습니다.
이 경우 방화벽을 우회하기 위해 애플리케이션이 위치한 가상 네트워크 또는 공용 IP 주소 범위에서의 연결을 허용해야 할 수도 있습니다.
사진 액세스 정책에 따라 모든 네트워크의 트래픽에 대한 액세스를 거부합니다. 해당 소스 외부의 호출자는 기본 소스를 제외하고 액세스가 거부됩니다.신뢰할 수 있는 Microsoft 서비스. 즉, 해당 서비스의 연결은 방화벽을 통과하지만 해당 호출자는 여전히 유효한 AAD 토큰을 제시해야 하며 요청된 작업을 수행할 수 있는 권한이 있어야 합니다.
그리고 App Services도 곧 출시될 예정인데 현재는 찾을 수 없습니다.신뢰할 수 있는 Microsoft 서비스. App Services의 경우 ASE(App Service Environment) 인스턴스만 지원됩니다.
참조:Key Vault에 대한 가상 네트워크 서비스 엔드포인트 발표(미리 보기)
업데이트 1
이것으로부터링크당신은 의견을 제공했습니다.
PaaS 리소스에 대한 네트워크 액세스를 제한하려면 특정 서브넷에서 특정 서비스 엔드포인트인 Microsoft.KeyVault를 활성화해야 합니다. 또한 네트워크를 선택한 경우 서브넷이 허용됩니다. 이것으로 더 자세한 내용을 알 수 있습니다지도 시간.
App Service에서 Azure 관리 서비스 ID를 사용하는 경우 다음과 같은 액세스 정책을 추가했는지 확인해야 합니다.애플리케이션의 ID를 포함합니다.. 인용하다이것.
업데이트2
이 경우 온-프레미스 네트워크에서 Key Vault에 액세스하는 대신 웹앱이 Key Vault에 액세스하도록 허용하려면 웹앱 서비스의 아웃바운드 IP 주소를 Key Vault 방화벽에 추가해야 합니다.
답변2
App Service에서 MSI(관리 서비스 ID)를 사용하는 경우 Key Vault 정책에서 해당 Azure AD ID에 대한 액세스 권한을 부여할 수 있으며 앱에 하드코딩된 자격 증명을 유지할 필요가 없습니다.https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/
키 자격 증명 모음에 대한 네트워크/엔드포인트 액세스를 제한하는 것과 관련하여 Nancy는 "Microsoft Trusted Services"를 사용하라는 정답을 가지고 있습니다.https://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpointsapp service는 Key Vault에 대한 신뢰할 수 있는 서비스입니다.