네트워크 수준에서 보호되는 Azure KeyVault가 있습니다. 2개의 특정 vnet/서브넷으로부터의 연결만 허용합니다.
그러나 또한 내 웹 앱(서브넷 외부) 중 하나가 KeyVault에서 비밀을 가져올 수 있기를 원합니다. 내 웹 앱에서 비밀을 가져오고 나열할 수 있도록 액세스 정책을 추가했습니다.
저는 Allow trusted Microsoft services to bypass this firewall?
App Service가 KeyVault에 액세스할 수 있도록 설정하면 충분하다고 생각했습니다(동일한 구독에 있음). 분명히 그렇지 않습니다.
방화벽 규칙을 유지하고 웹 앱이 비밀을 가져오도록 허용하려면 어떤 설정을 사용해야 합니까?
답변1
가장 간단한 방법은 웹앱의 "아웃바운드 IP" 목록(웹앱 블레이드의 속성 섹션에 있음)을 Key Vault의 방화벽에 추가하는 것입니다.
답변2
아웃바운드 IP를 사용하는 것이 가장 쉬운 옵션이며 인증과 함께 위험을 상당히 제한한다는 데 동의합니다.
그러나 가장 안전한 옵션은 다음을 사용하는 것입니다.VNET 통합웹앱에서. 이렇게 하면 VNET 내부의 리소스에 액세스할 수 있습니다. 만약 너라면keyvault의 방화벽에서 이 VNET을 허용 목록에 추가하세요., KeyVault에 안전하게 액세스할 수 있어야 합니다.