使用 IP 网络防火墙配置 Azure 托管 HSM 网络设置（预览版）

本文提供有关如何使用 IP 网络防火墙（预览版）配置 Azure Key Vault 托管 HSM 网络设置的分步指南，以处理其他应用程序和 Azure 服务。有关不同网络安全配置和概念的详细信息，请参阅 Azure Key Vault 托管 HSM 的网络安全性。

下面是使用 Azure 门户、Azure CLI 和 Azure PowerShell 配置托管 HSM 防火墙的分步说明。

注释

IP 网络防火墙（预览版）功能需要启用订阅。如果有兴趣使用此功能，请使用订阅和区域信息创建支持票证。

重要

可以为每个资源添加 10 个 IP 地址或地址范围的限制。

下面介绍如何使用 Azure 门户配置托管 HSM 防火墙：

浏览到要保护的托管 HSM。
选择 “网络”，然后选择“ 公共访问 ”选项卡。
在 “公用网络访问”下，选择“ 管理”。
若要将 IP 地址添加到防火墙，请在公共网络访问旁边选择“启用”，然后在默认操作旁边选择“从选定网络启用”。
在 IP 网络下，通过在 CIDR（无类域间路由）表示法或单个 IP 地址中键入 IPv4 地址范围来添加 IPv4 地址范围。
如果想要允许 Azure 受信任的服务绕过托管 HSM 防火墙，请选择“ 是”。有关当前托管 HSM 受信任服务的完整列表，请参阅 Azure Key Vault 受信任服务。
选择“保存”。

下面介绍如何使用 Azure CLI 配置托管 HSM 防火墙：

在创建防火墙之前，使用 az keyvault update-hsm 命令将默认动作设置为“拒绝”。

az keyvault update-hsm --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --default-action Deny

使用 az keyvault network-rule add 命令添加 IP 地址范围以允许流量。

az keyvault network-rule add --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --ip-address "191.10.18.0/24"

如果此密钥保管库应由任何受信任的服务访问，请使用 az keyvault update 命令将绕过设置为 AzureServices。
```
az keyvault update --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --bypass AzureServices
```

下面介绍如何使用 PowerShell 配置托管 HSM 防火墙：

安装最新的 Azure PowerShell 并登录。
使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将默认动作设置为 Deny，并添加 IP 地址范围以允许流量。
```
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -ResourceGroupName "myresourcegroup" -DefaultAction Deny -IpAddressRange @('16.17.18.0/24') -PassThru 
```
包括 -ReplaceAllRules 以覆盖 IP 列表。否则，该命令将合并新包含的规则。
如果需要任何受信任的服务访问此托管 HSM，应使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将绕过规则设置为 AzureServices。
```
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -Bypass AzureServices
```

后续步骤