Gostaria de restringir e dar acesso ao meu segredo apenas à minha aplicação em produção. Mesmo quando eu habilitei Firewalls e redes virtuais > Redes selecionadas e selecionei permitir serviços confiáveis da Microsoft
o retorno quando tento acessar a chave é "A operação retornou um código de status inválido 'Proibido'"
Responder1
Em primeiro lugar, o recurso Pontos de extremidade de serviço de rede virtual para Key Vault ainda está em versão prévia. É altamente recomendável não usar esse recurso em nenhum cenário de produção.
Nesse caso, pode ser necessário permitir a conexão da rede virtual ou dos intervalos de endereços IP públicos nos quais seu aplicativo está localizado para contornar o firewall.
De acordo com suas políticas de acesso a imagens, você nega acesso ao tráfego de todas as redes. Qualquer chamador fora dessas fontes terá acesso negado, exceto o padrãoServiços confiáveis da Microsoft. O que significa que essas conexões desses serviços passarão pelo firewall, mas esses chamadores ainda precisam apresentar um token AAD válido e devem ter permissões para executar a operação solicitada.
Além disso, o App Services estará disponível em breve, não consigo encontrá-lo no atualServiços confiáveis da Microsoft. Para Serviços de Aplicativo, apenas as instâncias ASE (Ambiente de Serviço de Aplicativo) são suportadas.
Referência:Anúncio de pontos finais de serviço de rede virtual para Key Vault (pré-visualização)
Atualização1
A partir dissolinkvocê forneceu no comentário.
Se quiser restringir o acesso à rede aos recursos PaaS, certifique-se de habilitar o ponto de extremidade de serviço específico - Microsoft.KeyVault em sua sub-rede específica. Além disso, a sub-rede será permitida se você selecionar redes. Você pode obter mais detalhes dissotutorial.
Se utilizar a Identidade do Serviço Gerido do Azure no Serviço de Aplicações, terá de se certificar de que adicionou uma política de acesso queinclui a identidade do seu aplicativo. Referir-seesse.
Atualização2
Neste caso, se quiser apenas permitir o acesso da aplicação web ao cofre de chaves em vez de aceder ao cofre de chaves a partir da rede no local, terá de adicionar os endereços IP de saída do serviço de aplicações web à firewall do cofre de chaves.
Responder2
Se você usar a Identidade de Serviço Gerenciado (MSI) com seu serviço de aplicativo, poderá conceder acesso a essa identidade do Azure AD em suas Políticas do Key Vault e não precisará manter as credenciais codificadas em seu aplicativo.https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/
Em relação à restrição do acesso à rede/ponto final ao seu cofre de chaves, Nancy tem a resposta correta para usar "Microsoft Trusted Services. De acordo comhttps://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpointsO serviço de aplicativo é um serviço confiável para o Key Vault.