Logico_jp

Azure Front Doorで使うカスタムドメインのTLS証明書をAzure Key Vaultで管理する場合、Azure Key VaultのFirewallでどのIPレンジを開ければよいか

このエントリは2021/03/17現在の情報に基づいています。将来の機能追加や変更に伴い、記載内容との乖離が発生する可能性があります。

Azure Front Doorでカスタムドメインを構成し、そのTLS証明書をAzure Key Vaultで管理する、というユースケースの構成例は、以下のドキュメントに記載がある。

チュートリアル:Front Door カスタム ドメインで HTTPS を構成する / Tutorial: Configure HTTPS on a Front Door custom domain
https://docs.microsoft.com/azure/frontdoor/front-door-custom-domain-https

で、以下のような問い合わせがあった。

Azure Front Doorからのアクセスだけを許可したいが、どのIPからのアクセスをAzure Key VaultのFirewallで許可すればよいか?

Key VaultはデフォルトではFirewallが無効化されているが、さすがにそれは問題なので、対象のIPアドレスにだけアクセスを許可させたい、ということ。Azure Key VaultのFirewallを使ってネットワークアクセスを制限する方法は以下のドキュメントに記載がある。

Azure Key Vault のファイアウォールと仮想ネットワークを構成する / Configure Azure Key Vault firewalls and virtual networks
https://docs.microsoft.com/azure/key-vault/general/network-security

ただ、この中の「信頼されたサービス」にAzure Front Doorが含まれていないように見える。

信頼できるサービス / Trusted Services
https://docs.microsoft.com/azure/key-vault/general/overview-vnet-service-endpoints#trusted-services

ところが

確かに「信頼されたサービス」には含まれてはいないが、実際にはAzure Front Doorは「信頼されたサービス」に含まれているため、「信頼できるサービスを許可する」を有効にすることで、FirewallをバイパスしてKey Vaultにアクセスできる。

Azureのサービスがアクセスに使うIPレンジやService Tag

Azureのサービスがアクセスに使うIPレンジやService Tagの情報は公開されており、以下のURLからダウンロードできるJSONファイルに記述がある。

Azure IP Ranges and Service Tags – Public Cloud
https://www.microsoft.com/en-us/download/details.aspx?id=56519

このファイルで AzureFrontDoor.Backend を探し出すと、以下のような感じであるが、この中に上記のIPレンジが記載されている。

カテゴリー: AzureFront DoorKey VaultNetworkSecurityTechnologyタグ: コメントする

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中