Azure Key Vault のネットワーク設定を構成する

1. セキュリティで保護したいキー ボールトにアクセスします。
2. [ネットワーク] を選択してから、 [ファイアウォールと仮想ネットワーク] タブを選択します。
3. [許可するアクセス元] の [選択されたネットワーク] を選択します。
4. 既存の仮想ネットワークをファイアウォールと仮想ネットワークの規則に追加するには、 [+ 既存の仮想ネットワークを追加] を選択します。
5. 表示される新しいブレードで、このキー コンテナーへのアクセスを許可するサブスクリプション、仮想ネットワーク、サブネットを選択します。 選択する仮想ネットワークとサブネットでサービス エンドポイントが有効になっていない場合は、サービス エンドポイントを有効にする必要があることを確認して、 [有効] を選択します。 有効になるまでに最大 15 分かかることがあります。
6. [IP ネットワーク] で、CIDR (クラスレスドメイン間ルーティング) 表記または個々の IP アドレスに「IPv4 アドレス範囲」と入力して、IPv4 アドレス範囲を追加します。
7. 信頼された Microsoft サービスが Key Vault ファイアウォールをバイパスすることを許可する場合には、[はい] を選択します。 Key Vault で現在信頼されているサービスの完全な一覧については、次のリンクを参照してください。 Azure Key Vault Trusted Services
8. 保存 を選択します。

[+ 新しい仮想ネットワークを追加] を選択し、新しい仮想ネットワークとサブネットを追加して、新しく作成した仮想ネットワークとサブネットのサービス エンドポイントを有効にすることもできます。 その後、プロンプトに従います。

Azure CLI を使用して Key Vault のファイアウォールと仮想ネットワークを構成する方法を次に示します。

1. Azure CLI をインストール して サインインします。

2. 使用可能な仮想ネットワーク規則を一覧表示します。 このキー ボールトのルールを設定していない場合、一覧は空になります。

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. 既存の仮想ネットワークとサブネットで Key Vault のサービス エンドポイントを有効にします。

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. 仮想ネットワークとサブネットに対するネットワーク ルールを追加します。

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. トラフィックを許可する IP アドレス範囲を追加します。

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. このキー コンテナーに信頼されたサービスからアクセスできる必要がある場合は、 bypass を AzureServices に設定します。

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. 既定のアクションを Deny に設定して、ネットワーク ルールをオンにします。

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell を使用して Key Vault ファイアウォールと仮想ネットワークを構成する方法を次に示します。

1. 最新の Azure PowerShell をインストールし、 サインインします。

2. 使用可能な仮想ネットワーク規則を一覧表示します。 このキー コンテナーの規則を設定していない場合、一覧は空になります。

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. 既存の仮想ネットワークとサブネットで Key Vault のサービス エンドポイントを有効にします。

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. 仮想ネットワークとサブネットに対するネットワーク ルールを追加します。

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. トラフィックを許可する IP アドレス範囲を追加します。

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. このキー コンテナーに信頼されたサービスからアクセスできる必要がある場合は、 bypass を AzureServices に設定します。

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. 既定のアクションを Deny に設定して、ネットワーク ルールをオンにします。

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny