У меня есть хранилище ключей Azure, защищенное на сетевом уровне. Я разрешаю подключения только из 2 определенных vnets / подсетей.
Однако я также хочу, чтобы одно из моих веб-приложений (вне подсетей) могло получать секреты из KeyVault. Я добавил политику доступа, позволяющую моему веб-приложению получать и перечислять секреты.
Я думал, что настройка Allow trusted Microsoft services to bypass this firewall? будет достаточно, чтобы моя служба приложений получила доступ к KeyVault (они находятся в одной подписке). Видимо дело не в этом.
Какой параметр следует использовать, чтобы сохранить правила брандмауэра и разрешить моему веб-приложению получать секреты?
Самый простой подход - добавить список «исходящих IP-адресов» вашего веб-приложения (находится в разделе свойств колонки веб-приложения) в брандмауэр Key Vault.