我正在考虑将特定的Azure密钥保管库设为私有(必须仅允许从批准的VNET、本地部署或公共IP范围访问密钥保管库)此更改是否会导致与密钥保管库相同的资源组中的资源失去对其的访问权限?还是资源组中的其他资源仍然保留访问权限,而只有其他外部资源和IP地址失去访问权限?
wpx232ag1#
此更改是否会导致与密钥保管库相同的资源组中的资源失去对其的访问权限?可能是的。私有端点!=资源组。无论资源组如何,为了能够连接到目标专用端点,源资源都需要网络路径。在同一个资源组中与此无关。例如,要让Azure函数查看带有私有端点的keyvault,它需要附加到VNET,并且该VNET需要与KeyVault私有端点所在的VNET相同(或对等/连接到)。最后,VNET内的所有NSG需要允许正确端口上的流量(443)通过引入私有端点,您突然需要开始进行一系列网络设计。这是假设您没有勾选“允许Azure服务连接”。然而,该勾选框允许从 * 任何 * Azure资源(从任何 * 租户 * 不仅仅是你的)进行网络访问,所以不鼓励这样做。
1条答案
按热度按时间wpx232ag1#
此更改是否会导致与密钥保管库相同的资源组中的资源失去对其的访问权限?
可能是的。
私有端点!=资源组。
无论资源组如何,为了能够连接到目标专用端点,源资源都需要网络路径。
在同一个资源组中与此无关。
例如,要让Azure函数查看带有私有端点的keyvault,它需要附加到VNET,并且该VNET需要与KeyVault私有端点所在的VNET相同(或对等/连接到)。最后,VNET内的所有NSG需要允许正确端口上的流量(443)
通过引入私有端点,您突然需要开始进行一系列网络设计。
这是假设您没有勾选“允许Azure服务连接”。然而,该勾选框允许从 * 任何 * Azure资源(从任何 * 租户 * 不仅仅是你的)进行网络访问,所以不鼓励这样做。