Azure - 允許 Web 應用通過防火牆訪問 KeyVault

我有一個在網路級別受到保護的 Azure KeyVault。我只允許來自 2 個特定 vnet/子網的連接。

但是，我還希望我的一個 Web 應用程序（子網之外）能夠從 KeyVault 獲取機密。我添加了一個訪問策略來讓我的 Web 應用獲取和列出機密。

我認為該設置Allow trusted Microsoft services to bypass this firewall?足以讓我的應用服務訪問 KeyVault（它們在同一個訂閱中）。顯然情況並非如此。

我應該使用什麼設置來保持我的防火牆規則並允許我的網路應用程序獲取機密？

最簡單的方法是將 Web 應用程序的“出站 IP”列表（在 Web 應用程序刀片的屬性部分中找到）添加到 Key Vault 的防火牆。

我同意使用出站 IP 是最簡單的選擇，並且與身份驗證一起將風險限制了很多。

然而，最安全的選擇是在 webapps 上使用vnet 集成。這將使您能夠訪問 VNET 內的資源。如果您在 keyvault 的防火牆中將此 VNET 列入白名單，您應該能夠安全地訪問 keyvault。

引用自：https://serverfault.com/questions/999876