【问题标题】:Azure Key Vault not allow access via private endpoint connectionAzure Key Vault 不允许通过专用终结点连接进行访问
【发布时间】:2021-08-07 21:13:27
【问题描述】:

我有一个 azure web 服务 (linux) 和 azure key vault。

我配置了两个私有端点,以允许 Azure Key Vault 和 Azure Web 应用程序之间的通信。

我在key vault's access policy 中设置了所有权限,我已经添加了在the azure web app 中管理的身份,并且两个端点在同一个virtual network 中,但是应用程序无法读取密钥保管库参考

有什么办法解决这个问题吗?

编辑:

允许从私有端点和选定的网络进行访问

我不想将我的网络应用的公共 ip 地址放在防火墙中

我在密钥库中添加了 vnet

【问题讨论】:

  • 需要错误信息。
  • @MattSmall 我添加了详细信息,你能重新检查一下吗?
  • 请显示 VNet/防火墙设置。
  • @MattSmall 完成
  • @MattSmall 你能帮帮我吗

标签: azure azure-web-app-service azure-keyvault


【解决方案1】:

要允许您的 azure 应用服务使用专用终结点访问 Azure 密钥保管库,您必须执行以下步骤:

  1. 使用regional VNet Integration 使您的应用可以访问集成虚拟网络中的专用端点。
  2. Establishing a private link connection to an existing key vault
  3. Validating that the private link connection works。从您的 Azure 应用服务控制台或 kudu 门户,您可以验证您的应用程序是否通过私有 IP 地址连接到您的密钥保管库,并且它们具有正确的私有 DNS 区域集成。
  4. 为您的 Azure Web 应用添加密钥保管库的访问策略。

在这种情况下,您可以通过在使用专用链接时选中专用端点和所选网络的复选框来启用密钥保管库的防火墙,请阅读Key Vault Firewall Enabled (Private Link)。

请注意,当您use Key Vault references.

目前,如果您的 Key Vault 是 使用服务端点进行保护。使用连接到密钥保管库 虚拟网络集成,您需要在您的 应用代码。

您可以阅读这些精彩的 blog1blog2 了解更多详情。

【讨论】:

  • 感谢您的回复,我已经建立了一个私有链接连接并使用本教程验证它们:docs.microsoft.com/en-us/azure/key-vault/general/…,但我想知道为什么我应该使用区域 vnet
  • 另外,我有一个私有端点,我想我可以使用参考
  • 默认情况下,Azure Web 应用程序从 Internet 访问,如果您只想通过暴露密钥库的私有端点来访问密钥库,并且不需要将 Web 应用程序的公共 IP 地址放入防火墙,您需要从您的 Web 应用程序访问 VNet。这需要 vnet 集成。
  • 感谢您的回复,我有一个问题,请:我已经在 Web 应用程序中激活了一个私有端点连接,也是密钥库中的一个私有端点(同一个 vnet),我已经测试了密钥vault 的私有端点使用来自同一网络中的 vm 的 nslookup,所以,我应该使用 library 来访问 key vault 吗?
  • 无论如何,您应该使用该 Azure 密钥保管库 URL,因为它的 FQDN 将解析为专用终结点的专用 IP 地址。这将确定您是从私有 VNet 而非公共 Internet 访问。
猜你喜欢
  • 2022-01-18
  • 2020-08-08
  • 1970-01-01
  • 2021-10-09
  • 2019-06-09
  • 2021-09-05
  • 2021-06-08
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多