当使用 vnet 和防火墙保护时,无法从 Key Vault 获取机密。
我想使用 DevOps Build Pipeline 任务中存储在 Key Vault 中的秘密,我想遵循安全最佳实践和深度防御。作为安全最佳实践,我希望可以从选定的虚拟网络、选定的 azure 服务和受信任的 Internet ip 访问密钥保管库。当然,我会使用服务主体和适当的权限(列表/获取)。
不幸的是,Azure DevOps 不是值得信赖的服务之一。因此,我的替代方案是将 DevOps IP 列入白名单。我发现我的 DevOps 位于美国东部 2 区域,我下载了 Azure 数据中心 IP(使用美国东部 2 过滤)。US East 2 大约有 285 个 IP。Key Vault 防火墙对您可以添加的防火墙规则数量有限制,它是 127 个!所以,我倒霉了!
目前,只有在我允许所有网络的情况下,我才能在构建管道中从密钥保管库中获取机密!是的,我仍然需要通过身份验证才能获得秘密,但我在纵深防御上失败了。我真的需要将密钥保管库锁定到受信任的网络,但我不能。为什么?我添加的防火墙规则不能超过 127 个(覆盖该区域),而且 DevOps 不是值得信赖的 Azure 服务之一!