Eu tenho um Azure KeyVault protegido no nível da rede. Eu só permito conexões de 2 vnets/sub-redes específicas.
No entanto, também quero que um dos meus aplicativos da web (fora das sub-redes) seja capaz de buscar segredos do KeyVault. Adicionei uma política de acesso para permitir que meu aplicativo Web obtenha e liste segredos.
Achei que essa configuração Allow trusted Microsoft services to bypass this firewall?
seria suficiente para permitir que meu serviço de aplicativo acessasse o KeyVault (eles estão na mesma assinatura). Aparentemente não é o caso.
Que configuração devo usar para manter minhas regras de firewall e permitir que meu aplicativo da web busque os segredos?
Responder1
A abordagem mais simples seria adicionar a lista de “IPs de saída” do seu aplicativo Web (encontrada na seção de propriedades da folha do seu aplicativo Web) ao firewall do Key Vault.
Responder2
Concordo que usar IPs de saída é a opção mais fácil e, junto com a autenticação, limita bastante o risco.
No entanto, a opção mais segura é usar ointegração de redes virtuaisnos aplicativos da web. Isto permitir-lhe-á aceder a recursos dentro da VNET. Se vocêcoloque esta VNET na lista de permissões no Firewall do seu keyvault, você poderá acessar o keyvault com segurança.