- [アーティクル]
-
-
この記事では、Azure Key Vault を他のアプリケーションや Azure サービスと連携できるように、ネットワーク設定を構成する方法について説明します。 さまざまなネットワーク セキュリティ構成の詳細については、こちらを参照してください。
ここでは、Azure portal、Azure CLI、および Azure PowerShell を使用して Key Vault のファイアウォールと仮想ネットワークを構成する手順について説明します。
- セキュリティで保護するキー コンテナーに移動します。
- [ネットワーク] を選択してから、 [ファイアウォールと仮想ネットワーク] タブを選択します。
- [許可するアクセス元] の [選択されたネットワーク] を選択します。
- 既存の仮想ネットワークをファイアウォールと仮想ネットワークの規則に追加するには、 [+ 既存の仮想ネットワークを追加] を選択します。
- 表示される新しいブレードで、このキー コンテナーへのアクセスを許可するサブスクリプション、仮想ネットワーク、サブネットを選択します。 選択する仮想ネットワークとサブネットでサービス エンドポイントが有効になっていない場合は、サービス エンドポイントを有効にする必要があることを確認して、 [有効] を選択します。 有効になるまでに最大 15 分かかることがあります。
- [IP ネットワーク] では、CIDR (Classless Inter-Domain Routing) 表記で IPv4 アドレスの範囲を入力して IPv4 アドレス範囲を追加するか、個々の IP アドレスを追加します。
- 信頼された Microsoft サービスが Key Vault ファイアウォールをバイパスすることを許可する場合には、[はい] を選択します。 Key Vault で現在信頼されているサービスの完全な一覧については、次のリンクを参照してください。 Azure Key Vault の信頼済みサービス
- [保存] を選択します。
[+ 新しい仮想ネットワークを追加] を選択し、新しい仮想ネットワークとサブネットを追加して、新しく作成した仮想ネットワークとサブネットのサービス エンドポイントを有効にすることもできます。 その後、プロンプトに従います。
Azure CLI を使用して Key Vault ファイアウォールと仮想ネットワークを構成する方法を次に示します
Azure CLI をインストールしてサインインします。
使用可能な仮想ネットワーク規則の一覧を表示します。 このキー コンテナーに対してルールを何も設定していない場合、一覧は空になります。
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
既存の仮想ネットワークとサブネット上の Key Vault のサービス エンドポイントを有効にします。
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
仮想ネットワークとサブネットに対するネットワーク ルールを追加します。
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
そこから送信されたトラフィックを許可する IP アドレス範囲を追加します。
az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
すべての信頼されたサービスでこのキー コンテナーにアクセスできるようにする必要がある場合は、bypass を AzureServices に設定します。
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
既定のアクションを Deny に設定することによって、ネットワーク ルールを有効にします。
az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
PowerShell を使用して Key Vault ファイアウォールと仮想ネットワークを構成する方法を次に示します。
最新の Azure PowerShell をインストールしてサインインします。
使用可能な仮想ネットワーク規則の一覧を表示します。 このキー コンテナーに対してルールを何も設定していない場合、一覧は空になります。
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
既存の仮想ネットワークとサブネット上の Key Vault のサービス エンドポイントを有効にします。
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
仮想ネットワークとサブネットに対するネットワーク ルールを追加します。
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
そこから送信されたトラフィックを許可する IP アドレス範囲を追加します。
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
すべての信頼されたサービスでこのキー コンテナーにアクセスできるようにする必要がある場合は、bypass を AzureServices に設定します。
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
既定のアクションを Deny に設定することによって、ネットワーク ルールを有効にします。
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
References
次のステップ