我有一個在網路層級受到保護的 Azure KeyVault。我只允許來自 2 個特定 vnet/子網路的連線。
但是,我還希望我的 Web 應用程式之一(子網路之外)能夠從 KeyVault 取得機密。我新增了一個存取策略,讓我的 Web 應用程式取得和列出機密。
我認為該設定Allow trusted Microsoft services to bypass this firewall?足以讓我的應用程式服務存取 KeyVault(它們位於同一訂閱中)。顯然事實並非如此。
我應該使用什麼設定來保留我的防火牆規則並允許我的 Web 應用程式取得機密?
答案1
最簡單的方法是將 Web 應用程式的「出站 IP」清單(可在 Web 應用程式刀片的屬性部分中找到)新增至 Key Vault 的防火牆。
答案2
我同意使用出站 IP 是最簡單的選擇,並且與身份驗證一起可以大大限制風險。
然而,最安全的選擇是使用虛擬網路集成在網路應用程式上。這將使您能夠存取 VNET 內的資源。如果你將此 VNET 列入金鑰保管庫的防火牆白名單,您應該能夠安全地存取金鑰庫。