本文提供有关如何使用 IP 网络防火墙(预览版)配置 Azure Key Vault 托管 HSM 网络设置的分步指南,以处理其他应用程序和 Azure 服务。 有关不同网络安全配置和概念的详细信息,请参阅 Azure Key Vault 托管 HSM 的网络安全性。
下面是使用 Azure 门户、Azure CLI 和 Azure PowerShell 配置托管 HSM 防火墙的分步说明。
注释
IP 网络防火墙(预览版)功能需要启用订阅。 如果有兴趣使用此功能,请使用订阅和区域信息创建支持票证。
重要
可以为每个资源添加 10 个 IP 地址或地址范围的限制。
下面介绍如何使用 Azure 门户配置托管 HSM 防火墙:
- 浏览到要保护的托管 HSM。
- 选择 “网络”,然后选择“ 公共访问 ”选项卡。
- 在 “公用网络访问”下,选择“ 管理”。
- 若要将 IP 地址添加到防火墙,请在公共网络访问旁边选择“启用”,然后在默认操作旁边选择“从选定网络启用”。
- 在 IP 网络下,通过在 CIDR(无类域间路由)表示法或单个 IP 地址中键入 IPv4 地址范围来添加 IPv4 地址范围。
- 如果想要允许 Azure 受信任的服务绕过托管 HSM 防火墙,请选择“ 是”。 有关当前托管 HSM 受信任服务的完整列表,请参阅 Azure Key Vault 受信任服务。
- 选择“保存”。
下面介绍如何使用 Azure CLI 配置托管 HSM 防火墙:
安装 Azure CLI 并登录。
在创建防火墙之前,使用 az keyvault update-hsm 命令将默认动作设置为“拒绝”。
az keyvault update-hsm --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --default-action Deny
使用 az keyvault network-rule add 命令添加 IP 地址范围以允许流量。
az keyvault network-rule add --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --ip-address "191.10.18.0/24"
如果此密钥保管库应由任何受信任的服务访问,请使用 az keyvault update 命令将绕过设置为 AzureServices。
az keyvault update --resource-group "myresourcegroup" --hsm-name "mymanagedhsm" --bypass AzureServices
下面介绍如何使用 PowerShell 配置托管 HSM 防火墙:
安装最新的 Azure PowerShell 并登录。
使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将默认动作设置为 Deny,并添加 IP 地址范围以允许流量。
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -ResourceGroupName "myresourcegroup" -DefaultAction Deny -IpAddressRange @('16.17.18.0/24') -PassThru
包括 -ReplaceAllRules 以覆盖 IP 列表。 否则,该命令将合并新包含的规则。
如果需要任何受信任的服务访问此托管 HSM,应使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将绕过规则设置为 AzureServices。
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "mymanagedhsm" -Bypass AzureServices
后续步骤