Azure

限制從 Azure Vault 訪問生產中的應用服務

  • September 13, 2018

我想限制和只允許我的生產應用程序訪問我的秘密。即使我啟用了防火牆和虛擬網路 > 選定的網路並選擇允許 Microsoft 受信任的服務

我嘗試訪問密鑰時的返回是“操作返回了無效的狀態程式碼‘禁止’”

虛擬網路

訪問策略

首先,Key Vault 功能的虛擬網路服務端點仍處於預覽階段。強烈建議不要將此功能用於任何生產場景。

在這種情況下,您可能需要允許來自您的應用程序所在的虛擬網路或公共 IP 地址範圍的連接以繞過防火牆。

根據您的圖片訪問策略,您拒絕訪問來自所有網路的流量。除了預設的受信任的 Microsoft 服務之外,這些來源之外的任何呼叫者都將被拒絕訪問。這意味著來自這些服務的這些連接將允許通過防火牆,但此類呼叫者仍需要提供有效的 AAD 令牌並且必須具有執行請求操作的權限。

另外,App Services 即將推出,我在目前的Trusted Microsoft services中找不到它。對於應用服務,僅支持 ASE(應用服務環境)實例。

在此處輸入圖像描述

參考:宣布 Key Vault 的虛擬網路服務端點(預覽版)

更新1

從您在評論中提供的這個連結。

如果您想限制對 PaaS 資源的網路訪問,您可以確保在您的特定子網中啟用特定服務端點 - Microsoft.KeyVault。此外,如果您選擇了網路,則允許使用子網。您可以從本教程中獲得更多詳細資訊。

如果在應用服務中使用 Azure 託管服務標識,則需要確保已添加包含應用程序標識的訪問策略。參考這個

更新2

在這種情況下,如果您只想允許 Web 應用程序訪問密鑰保管庫而不是從本地網路訪問密鑰保管庫,則需要將 Web 應用程序服務的出站 IP 地址添加到密鑰保管庫防火牆。

引用自:https://serverfault.com/questions/929131