我有一个在网络级别受保护的 Azure KeyVault。我只允许来自 2 个特定虚拟网络/子网的连接。
但是,我还希望我的一个 Web 应用(子网之外)能够从 KeyVault 获取机密。我添加了访问策略以允许我的 Web 应用获取和列出机密。
我以为这个设置Allow trusted Microsoft services to bypass this firewall?足以让我的应用服务访问 KeyVault(它们在同一个订阅中)。但显然事实并非如此。
我应该使用什么设置才能保留我的防火墙规则并允许我的网络应用程序获取机密?
答案1
最简单的方法是将您的 Web 应用程序的“出站 IP”列表(位于您的 Web 应用程序刀片的属性部分中)添加到 Key Vault 的防火墙。
答案2
我同意使用出站 IP 是最简单的选择,并且与身份验证相结合可以大大限制风险。
然而,最安全的选择是使用vnet 集成在 webapps 上。这将使您能够访问 VNET 内的资源。如果您将此 VNET 列入密钥库防火墙的白名单,您应该能够安全地访问密钥保管库。