Azure Front Doorで使うカスタムドメインのTLS証明書をAzure Key Vaultで管理する場合、Azure Key VaultのFirewallでどのIPレンジを開ければよいか

このエントリは2021/03/17現在の情報に基づいています。将来の機能追加や変更に伴い、記載内容との乖離が発生する可能性があります(ドキュメントの変更を確認し、2024/03/09更新)。

Azure Front Doorでカスタムドメインを構成し、そのTLS証明書をAzure Key Vaultで管理する、というユースケースの構成例は、以下のドキュメントに記載がある。

Front Door (クラシック) カスタム ドメインで HTTPS を構成する / Configure HTTPS on a Front Door (classic) custom domain
https://learn.microsoft.com/azure/frontdoor/front-door-custom-domain-https
Azure portal を使用して Azure Front Door カスタム ドメインで HTTPS を構成する / Configure HTTPS on an Azure Front Door custom domain using the Azure portal
https://learn.microsoft.com/azure/frontdoor/standard-premium/how-to-configure-https-custom-domain

で、以下のような問い合わせがあった。

Azure Front Doorからのアクセスだけを許可したいが、どのIPからのアクセスをAzure Key VaultのFirewallで許可すればよいか?

Key VaultはデフォルトではFirewallが無効化されているが、さすがにそれは問題なので、対象のIPアドレスにだけアクセスを許可させたい、ということ。Azure Key VaultのFirewallを使ってネットワークアクセスを制限する方法は以下のドキュメントに記載がある。

Azure Key Vault のファイアウォールと仮想ネットワークを構成する / Configure Azure Key Vault firewalls and virtual networks
https://learn.microsoft.com/azure/key-vault/general/network-security

この中の「信頼されたサービス」にAzure Front Doorが含まれている。

信頼できるサービス / Trusted Services
https://learn.microsoft.com/azure/key-vault/general/overview-vnet-service-endpoints#trusted-services

そのため、「信頼できるサービスを許可する」を有効にすることで、FirewallをバイパスしてKey Vaultにアクセスできる。

Azureのサービスがアクセスに使うIPレンジやService Tag

Azureのサービスがアクセスに使うIPレンジやService Tagの情報は公開されており、以下のURLからダウンロードできるJSONファイルに記述がある。

Azure IP Ranges and Service Tags – Public Cloud
https://www.microsoft.com/en-us/download/details.aspx?id=56519

このファイルで AzureFrontDoor.Backend を探し出すと、以下のような感じであるが、この中に上記のIPレンジが記載されている。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください