本文介绍 Azure Key Vault 托管 HSM 防火墙的不同配置。 有关如何配置这些设置的分步说明,请参阅 如何配置 Azure 托管 HSM 网络设置。
防火墙设置
本部分介绍配置 Azure Key Vault 托管 HSM 防火墙的不同方法。
托管 HSM 防火墙已禁用(对所有网络启用公共访问)
默认情况下,创建新的托管 HSM 时,将禁用 Azure Key Vault 托管 HSM 防火墙。 所有应用程序和 Azure 服务都可以访问托管 HSM 并将请求发送到托管 HSM。 此配置不授予任何用户对托管 HSM 执行操作的权限。 托管 HSM 仍通过要求Microsoft Entra 身份验证和访问权限来限制对托管 HSM 中存储的密钥的访问。 有关托管 HSM 身份验证的详细信息,请参阅 Azure Key Vault 托管 HSM 访问控制。
已启用托管 HSM 防火墙(IP 网络防火墙(预览版))
如果要授权特定服务通过托管 HSM 防火墙访问托管 HSM,请使用 IP 网络防火墙(预览版)功能将其 IP 地址添加到托管 HSM 防火墙允许列表。 此配置最适合使用静态 IP 地址或已知范围的服务。 为此配置最多可以添加 10 个 CIDR 范围。
注释
IP 网络防火墙(预览版)功能需要启用订阅。 如果有兴趣使用此功能,请使用订阅和区域信息创建支持票证。
若要允许 Azure 资源的 IP 地址或范围(例如 Web 应用或逻辑应用),请执行以下步骤:
- 登录到 Azure 门户。
- 选择资源(服务的特定实例)。
- 选择“设置”下的“属性”边栏选项卡。
- 查找 IP 地址字段。
- 复制此值或范围,并将其输入到托管 HSM 防火墙允许列表中。
若要允许整个 Azure 服务通过托管 HSM 防火墙,请使用 Azure 公开记录的数据中心 IP 地址列表。 找到与所需区域中的服务关联的 IP 地址,并将这些 IP 地址添加到托管 HSM 防火墙。
注释
请注意以下 IP 网络防火墙(预览版)配置限制:
- 最多可以添加 10 个 IPv4 规则。
- IP 网络规则仅适用于公共 IP 地址。 IP 规则中不允许为专用网络保留的 IP 地址范围(如 RFC 1918 中定义)。
- 目前仅支持 IPv4 地址。
已启用托管 HSM 防火墙(受信任的服务)
启用托管 HSM 防火墙时,可以选择“ 允许受信任的Microsoft服务绕过此防火墙的选项。 受信任的服务列表不包括每个 Azure 服务。 例如,Azure DevOps 不在受信任的服务列表中。 此限制并不意味着不出现在受信任服务列表上的服务是不受信任的或不安全的服务。 受信任的服务列表包括由Microsoft控制其上运行所有代码的服务。 由于用户可以在 Azure 服务(如 Azure DevOps)中编写自定义代码,因此Microsoft不提供为服务创建全面审批的选项。 此外,仅仅因为某个服务出现在受信任的服务列表中,并不意味着它适用于所有方案。
若要确定你尝试使用的服务是否位于受信任的服务列表中,请参阅 Azure Key Vault 的虚拟网络服务终结点。 有关操作指南,请按照门户、Azure CLI 和 PowerShell 的说明进行操作。
已启用托管 HSM 防火墙(专用链接)
若要了解如何在托管 HSM 上配置专用链接连接,请参阅 将托管 HSM 与 Azure 专用链接集成。
重要
防火墙规则生效后,只有当请求源自允许的 IPv4 地址范围时,用户才能执行托管 HSM 数据平面操作。 此限制也适用于从 Azure 门户访问托管 HSM。 尽管用户可以从 Azure 门户浏览到托管 HSM,但如果客户端计算机不在允许列表中,他们可能无法列出密钥。 此限制还会影响其他 Azure 服务使用的托管 HSM 选取器。 如果防火墙规则阻止了用户的客户端计算机,则用户可以查看密钥保管库列表,但不能查看列表密钥。
公共访问已禁用(仅限专用终结点)
若要增强网络安全,可以将托管 HSM 配置为禁用公共访问。 此配置拒绝所有公共访问,仅允许通过专用终结点建立连接。
限制和注意事项
- 将公用网络访问设置为“禁用”仍可允许受信任的服务。
- Azure Key Vault 托管 HSM 防火墙规则仅适用于数据平面操作。 控制平面操作不受防火墙规则中指定限制的影响。
- 要使用 Azure 门户等工具访问数据,必须使用配置网络安全规则时建立的受信任边界内的计算机。