Restringir o acesso do Azure Vault apenas aos Serviços de Aplicativos em produção

Question 1

Em primeiro lugar, o recurso Pontos de extremidade de serviço de rede virtual para Key Vault ainda está em versão prévia. É altamente recomendável não usar esse recurso em nenhum cenário de produção.

Nesse caso, pode ser necessário permitir a conexão da rede virtual ou dos intervalos de endereços IP públicos nos quais seu aplicativo está localizado para contornar o firewall.

De acordo com suas políticas de acesso a imagens, você nega acesso ao tráfego de todas as redes. Qualquer chamador fora dessas fontes terá acesso negado, exceto o padrãoServiços confiáveis da Microsoft. O que significa que essas conexões desses serviços passarão pelo firewall, mas esses chamadores ainda precisam apresentar um token AAD válido e devem ter permissões para executar a operação solicitada.

Além disso, o App Services estará disponível em breve, não consigo encontrá-lo no atualServiços confiáveis da Microsoft. Para Serviços de Aplicativo, apenas as instâncias ASE (Ambiente de Serviço de Aplicativo) são suportadas.

Referência:Anúncio de pontos finais de serviço de rede virtual para Key Vault (pré-visualização)

Atualização1

A partir dissolinkvocê forneceu no comentário.

Se quiser restringir o acesso à rede aos recursos PaaS, certifique-se de habilitar o ponto de extremidade de serviço específico - Microsoft.KeyVault em sua sub-rede específica. Além disso, a sub-rede será permitida se você selecionar redes. Você pode obter mais detalhes dissotutorial.

Se utilizar a Identidade do Serviço Gerido do Azure no Serviço de Aplicações, terá de se certificar de que adicionou uma política de acesso queinclui a identidade do seu aplicativo. Referir-seesse.

Atualização2

Neste caso, se quiser apenas permitir o acesso da aplicação web ao cofre de chaves em vez de aceder ao cofre de chaves a partir da rede no local, terá de adicionar os endereços IP de saída do serviço de aplicações web à firewall do cofre de chaves.

Answer

Em primeiro lugar, o recurso Pontos de extremidade de serviço de rede virtual para Key Vault ainda está em versão prévia. É altamente recomendável não usar esse recurso em nenhum cenário de produção.

Nesse caso, pode ser necessário permitir a conexão da rede virtual ou dos intervalos de endereços IP públicos nos quais seu aplicativo está localizado para contornar o firewall.

De acordo com suas políticas de acesso a imagens, você nega acesso ao tráfego de todas as redes. Qualquer chamador fora dessas fontes terá acesso negado, exceto o padrãoServiços confiáveis da Microsoft. O que significa que essas conexões desses serviços passarão pelo firewall, mas esses chamadores ainda precisam apresentar um token AAD válido e devem ter permissões para executar a operação solicitada.

Além disso, o App Services estará disponível em breve, não consigo encontrá-lo no atualServiços confiáveis da Microsoft. Para Serviços de Aplicativo, apenas as instâncias ASE (Ambiente de Serviço de Aplicativo) são suportadas.

Referência:Anúncio de pontos finais de serviço de rede virtual para Key Vault (pré-visualização)

Atualização1

A partir dissolinkvocê forneceu no comentário.

Se quiser restringir o acesso à rede aos recursos PaaS, certifique-se de habilitar o ponto de extremidade de serviço específico - Microsoft.KeyVault em sua sub-rede específica. Além disso, a sub-rede será permitida se você selecionar redes. Você pode obter mais detalhes dissotutorial.

Se utilizar a Identidade do Serviço Gerido do Azure no Serviço de Aplicações, terá de se certificar de que adicionou uma política de acesso queinclui a identidade do seu aplicativo. Referir-seesse.

Atualização2

Neste caso, se quiser apenas permitir o acesso da aplicação web ao cofre de chaves em vez de aceder ao cofre de chaves a partir da rede no local, terá de adicionar os endereços IP de saída do serviço de aplicações web à firewall do cofre de chaves.

Question 2

Se você usar a Identidade de Serviço Gerenciado (MSI) com seu serviço de aplicativo, poderá conceder acesso a essa identidade do Azure AD em suas Políticas do Key Vault e não precisará manter as credenciais codificadas em seu aplicativo.https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/

Em relação à restrição do acesso à rede/ponto final ao seu cofre de chaves, Nancy tem a resposta correta para usar "Microsoft Trusted Services. De acordo comhttps://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpointsO serviço de aplicativo é um serviço confiável para o Key Vault.

Answer

Se você usar a Identidade de Serviço Gerenciado (MSI) com seu serviço de aplicativo, poderá conceder acesso a essa identidade do Azure AD em suas Políticas do Key Vault e não precisará manter as credenciais codificadas em seu aplicativo.https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/

Em relação à restrição do acesso à rede/ponto final ao seu cofre de chaves, Nancy tem a resposta correta para usar "Microsoft Trusted Services. De acordo comhttps://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpointsO serviço de aplicativo é um serviço confiável para o Key Vault.

Restringir o acesso do Azure Vault apenas aos Serviços de Aplicativos em produção

Responder1

Atualização1

Atualização2

Responder2

informação relacionada