本文提供了有关如何使用 IP 网络防火墙配置Azure Key Vault托管 HSM 网络设置以与其他应用程序和Azure服务配合使用的分步指南。 有关不同网络安全配置和概念的详细信息,请参阅 Azure Key Vault 托管 HSM 的网络安全。
下面是使用Azure portal、Azure CLI和Azure PowerShell配置托管 HSM 防火墙的分步说明。
重要
可以为每个资源添加 10 个 IP 地址或地址范围的限制。
下面介绍如何使用Azure portal配置托管 HSM 防火墙:
- 浏览到要保护的托管 HSM。
- 依次选择 Networking,然后选择 Public access 选项卡。
- 在 Public network access 下,选择 Manage。
- 若要将 IP 地址添加到防火墙, 在 Public network access 旁边,选择 enable,然后选择 Default action,从所选网络选择 Enable。
- 在 IP 网络下,通过在 CIDR(无类域间路由)表示法或单个 IP 地址中键入 IPv4 地址范围来添加 IPv4 地址范围。
- 如果要允许Azure受信任的服务绕过托管 HSM 防火墙,请选择 Yes。 有关当前托管 HSM 受信任服务的完整列表,请参阅 Azure Key Vault 受信任服务。
- 选择“保存”。
下面介绍如何使用 Azure CLI配置托管 HSM 防火墙:
安装Azure CLI并登录。
使用 az keyvault update-hsm 命令在创建防火墙之前将默认操作设置为“拒绝”。
az keyvault update-hsm --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --default-action Deny
使用 az keyvault network-rule add 命令来添加一个 IP 地址范围以允许流量。
az keyvault network-rule add --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --ip-address "191.10.18.0/24"
如果此 Key Vault 应由任何受信任的服务访问,请使用 az keyvault update 命令将 bypass 参数设置为 AzureServices。
az keyvault update --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --bypass AzureServices
下面介绍如何使用 PowerShell 配置托管 HSM 防火墙:
安装最新的Azure PowerShell并登录。
使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将默认动作设置为 Deny,并添加 IP 地址范围以允许流量。
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -ResourceGroupName "myresourcegroup" -DefaultAction Deny -IpAddressRange @('16.17.18.0/24') -PassThru
包括 -ReplaceAllRules 以覆盖 IP 列表。 否则,该命令将合并新包含的规则。
如果需要任何受信任的服务访问此托管 HSM,应使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将绕过规则设置为 AzureServices。
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -Bypass AzureServices
后续步骤