如何安全地从门户访问 Azure 密钥保管库

问题描述 投票:0回答:1

底线是我需要确保我的金库位于某种防火墙后面并且开发人员可以访问/操作金库从门户

我已经为保管库设置了专用终结点,以允许 vnet 上的资源访问保管库,就好像它是本地资源一样。

我被要求设置诸如 tailscale 或 twingate 之类的东西,而不是在 vnet 中运行 VPN 服务器。

在金库上,我可以:

  1. 将防火墙配置为仅允许来自我的 vnet 的公共访问
  2. 禁用所有公共访问并使所有内容都使用专用端点

我会假设我需要的任何设置在 tailscale 和 twingate(两者都得到了很好的评论)等服务之间基本上是相同的,所以......

如何配置其中之一以允许开发人员使用门户来管理保管库以及我在保管库一侧使用什么配置(即上面的 #1 或 #2)?

这似乎是一个常见的用例,考虑到找到此类配置的文档是多么困难,这让我觉得我正在做一些非常错误的事情

azure vpn tailscale
1个回答
0
投票

正如我提到的,你有两种选择。如果您选择选项 1,则启用 Key Vault 防火墙并拒绝所有公共访问

az keyvault update \
  --resource-group <resource-group-name> \
  --name <keyvault-name> \
  --default-action Deny

enter image description here

在 Vnet 上启用 Key Vault 的服务端点

az network vnet subnet update \
  --resource-group <resource-group-name> \
  --vnet-name <vnet-name> \
  --name <subnet-name> \
  --service-endpoints Microsoft.KeyVault

enter image description here

将 Vnet 的子网添加到 Key Vault 防火墙

subnetid=$(az network vnet subnet show \
  --resource-group arkorg \
  --vnet-name arkoVNet \
  --name default \
  --query id --output tsv)

az keyvault network-rule add \
  --resource-group arkorg \
  --name arkoKV \
  --subnet $subnetid

enter image description here

要允许 azure 门户(和其他受信任的 Azure 服务)与 Key Vault 交互,请启用 AzureServices 绕过

az keyvault update \
  --resource-group arkorg \
  --name arkoKV \
  --bypass AzureServices

enter image description here

立即从 VNet 中允许的资源验证相同的内容

az keyvault secret list --vault-name arkoKV

enter image description here

从 Vnet 外部检查

enter image description here

不工作。

查看 MS 文档-

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.