Ограничить доступ из Azure Vault только к службам приложений в рабочей среде
Я хочу ограничить и предоставить доступ к моему секрету только моему приложению в производстве. Даже когда я включил брандмауэры и виртуальные сети> Выбранные сети и выбрал разрешить доверенные службы Microsoft
при попытке доступа к ключу возвращается сообщение «Операция вернула недопустимый код состояния« Запрещено »»
Если вы используете управляемую идентификацию службы (MSI) со службой приложений, вы можете предоставить доступ к этому удостоверению Azure AD в своих политиках хранилища ключей, и вам не нужно жестко хранить учетные данные в своем приложении. https://azure.microsoft.com/sv-se/resources/samples/app-service-msi-keyvault-dotnet/
Что касается ограничения доступа сети / конечной точки к вашему хранилищу ключей, у Нэнси есть правильный ответ, чтобы использовать «доверенные службы Microsoft». Согласно https://docs.microsoft.com/en-us/azure/key-vault/key-vault-overview-vnet-service-endpoints служба приложений - это надежная служба Key Vault.
Во-первых, функция «Конечные точки службы виртуальной сети для Key Vault» все еще находится в стадии предварительной версии. Настоятельно рекомендуется не использовать эту функцию для любых производственных сценариев.
В этом случае вам может потребоваться разрешить подключение из виртуальной сети или диапазонов общедоступных IP-адресов, в которых находится ваше приложение, чтобы обойти брандмауэр.
Согласно вашей политике доступа к изображениям, вы запрещаете доступ трафику из всех сетей. Всем вызывающим абонентам за пределами этих источников будет отказано в доступе, кроме значения по умолчанию. Надежные службы Microsoft. Это означает, что эти подключения от этих служб будут проходить через брандмауэр, но такие вызывающие стороны все равно должны предоставить действительный токен AAD и иметь разрешения для выполнения запрошенной операции.
Кроме того, скоро появятся службы приложений, я не могу найти их в текущем Надежные службы Microsoft. Для служб приложений поддерживаются только экземпляры ASE (среда службы приложений).
Ссылка: Объявление о конечных точках службы виртуальной сети для Key Vault (предварительная версия)
Обновление1
Из этого ссылка на сайт вы предоставили в комментарии.
Если вы хотите ограничить сетевой доступ к ресурсам PaaS, вы можете убедиться, что вы включили конкретную конечную точку службы - Microsoft.KeyVault в вашей конкретной подсети. Также подсеть разрешена, если вы выбрали сети. Вы можете получить более подробную информацию из этого руководство.
Если вы используете Azure Managed Service Identity в службе приложений, вам необходимо убедиться, что вы добавили политику доступа, которая включает идентификатор вашего приложения. Ссылаться на этот.
Обновление2
В этом случае, если вы просто хотите разрешить веб-приложению доступ к хранилищу ключей вместо доступа к хранилищу ключей из локальной сети, вам необходимо добавить исходящие IP-адреса службы веб-приложения в брандмауэр хранилища ключей.