Ограничить доступ из Azure Vault только к службам приложений в производственной среде
Я хочу ограничить и предоставить доступ к моему секрету только моему рабочему приложению. Даже когда я включил брандмауэры и виртуальные сети> Выбранные сети и выбрал разрешить доверенные службы Microsoft
, при попытке доступа к ключу возвращается сообщение «Операция вернула недопустимый код состояния« Запрещено »»
Во-первых, конечные точки службы виртуальной сети для функции Key Vault все еще находятся в стадии предварительной версии. Настоятельно рекомендуется не использовать эту функцию для каких-либо производственных сценариев.
В этом случае вам может потребоваться разрешить подключение из виртуальной сети или диапазонов общедоступных IP-адресов, в которых находится ваше приложение, чтобы обойти брандмауэр.
В соответствии с политиками доступа к изображениям вы запрещаете доступ трафику из всех сетей. Любому вызывающему абоненту за пределами этих источников будет отказано в доступе, за исключением доверенных служб Microsoft по умолчанию . Это означает, что эти подключения от этих служб будут пропускать через брандмауэр, но такие вызывающие стороны все равно должны предоставить действительный токен AAD и иметь разрешения на выполнение запрошенной операции.
Также скоро появятся службы приложений, я не могу найти их в текущих доверенных службах Microsoft . Для служб приложений поддерживаются только экземпляры ASE (среда службы приложений).
Ссылка: Объявление конечных точек службы виртуальных сетей для Key Vault (предварительная версия)
Обновление1
По этой ссылке вы предоставлено в комментарии.
Если вы хотите ограничить сетевой доступ к ресурсам PaaS, вы можете убедиться, что вы включили конкретную конечную точку службы - Microsoft.KeyVault в вашей конкретной подсети. Также подсеть разрешена, если вы выбрали сети. Вы можете получить более подробную информацию из этого учебника .
Если вы используете Azure Managed Service Identity в службе приложений, вам необходимо убедиться, что вы добавили политику доступа, которая включает в себя идентификатор вашего приложения ]. См. это .
Update2
В этом случае, если вы просто хотите разрешить веб-приложению доступ к хранилищу ключей вместо доступа к хранилищу ключей из локальной сети, вам потребуется для добавления исходящих IP-адресов службы веб-приложений в брандмауэр хранилища ключей.
Если вы используете Managed Service Identity (MSI) со своей службой приложений, вы можете предоставить доступ к этому удостоверению Azure AD в своих политиках Key Vault, и вам не нужно жестко хранить учетные данные в своем приложении. . https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/
Что касается ограничения доступа к сети / конечной точке к вашему хранилищу ключей, у Нэнси есть правильный ответ на использование «доверенных служб Microsoft». Согласно https://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpoints, служба приложения надежная служба Key Vault.