У меня есть Azure KeyVault, защищенный на сетевом уровне. Я разрешаю подключения только из 2 определенных vnets/subnets.
Однако я также хочу, чтобы одно из моих веб-приложений (вне подсетей) могло извлекать секреты из KeyVault. Я добавил политику доступа, чтобы позволить моему веб-приложению получать и перечислять секреты.
Я думал, что этой настройки Allow trusted Microsoft services to bypass this firewall?будет достаточно, чтобы разрешить моему App Service доступ к KeyVault (они находятся в одной подписке). Видимо, это не так.
Какую настройку мне следует использовать, чтобы сохранить правила брандмауэра и разрешить веб-приложению извлекать секреты?
решение1
Самый простой подход — добавить список «Исходящих IP-адресов» вашего веб-приложения (он находится в разделе свойств блейда вашего веб-приложения) в брандмауэр Key Vault.
решение2
Я согласен, что использование исходящих IP-адресов — самый простой вариант, и вместе с аутентификацией он значительно снижает риск.
Однако наиболее безопасным вариантом является использованиеинтеграция vnetна веб-приложениях. Это позволит вам получить доступ к ресурсам внутри VNET. Если выДобавьте этот VNET в белый список в брандмауэре вашего хранилища ключей, вы сможете получить безопасный доступ к хранилищу ключей.