我有一个在网络级别受到保护的 Azure KeyVault。我只允许来自 2 个特定 vnet/子网的连接。
但是,我还希望我的一个 Web 应用程序(子网之外)能够从 KeyVault 获取机密。我添加了一个访问策略来让我的 Web 应用获取和列出机密。
我认为该设置Allow trusted Microsoft services to bypass this firewall?足以让我的应用服务访问 KeyVault(它们在同一个订阅中)。显然情况并非如此。
我应该使用什么设置来保持我的防火墙规则并允许我的网络应用程序获取机密?
最简单的方法是将 Web 应用程序的“出站 IP”列表(在 Web 应用程序刀片的属性部分中找到)添加到 Key Vault 的防火墙。
我同意使用出站 IP 是最简单的选择,并且与身份验证一起将风险限制了很多。
然而,最安全的选择是在 webapps 上使用vnet 集成。这将使您能够访问 VNET 内的资源。如果您在 keyvault 的防火墙中将此 VNET 列入白名单,您应该能够安全地访问 keyvault。