使用 IP 网络防火墙配置Azure托管 HSM 网络设置

下面介绍如何使用Azure portal配置托管 HSM 防火墙：

1. 浏览到要保护的托管 HSM。
2. 依次选择 Networking，然后选择 Public access 选项卡。
3. 在 Public network access 下，选择 Manage。
4. 若要将 IP 地址添加到防火墙， 在 Public network access 旁边，选择 enable，然后选择 Default action，从所选网络选择 Enable。
5. 在 IP 网络下，通过在 CIDR（无类域间路由）表示法或单个 IP 地址中键入 IPv4 地址范围来添加 IPv4 地址范围。
6. 如果要允许Azure受信任的服务绕过托管 HSM 防火墙，请选择 Yes。 有关当前托管 HSM 受信任服务的完整列表，请参阅 Azure Key Vault 受信任服务。
7. 选择“保存”。

下面介绍如何使用 Azure CLI配置托管 HSM 防火墙：

1. 安装Azure CLI并登录。

2. 使用 az keyvault update-hsm 命令在创建防火墙之前将默认操作设置为“拒绝”。

   az keyvault update-hsm --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --default-action Deny
   

3. 使用 az keyvault network-rule add 命令来添加一个 IP 地址范围以允许流量。

   az keyvault network-rule add --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --ip-address "191.10.18.0/24"
   

4. 如果此 Key Vault 应由任何受信任的服务访问，请使用 az keyvault update 命令将 bypass 参数设置为 AzureServices。

   az keyvault update --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --bypass AzureServices
   

下面介绍如何使用 PowerShell 配置托管 HSM 防火墙：

1. 安装最新的Azure PowerShell并登录。

2. 使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将默认动作设置为 Deny，并添加 IP 地址范围以允许流量。

   Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -ResourceGroupName "myresourcegroup" -DefaultAction Deny -IpAddressRange @('16.17.18.0/24') -PassThru 
   

   包括 -ReplaceAllRules 以覆盖 IP 列表。 否则，该命令将合并新包含的规则。

3. 如果需要任何受信任的服务访问此托管 HSM，应使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将绕过规则设置为 AzureServices。

   Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -Bypass AzureServices