Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El perímetro de seguridad de red de Azure (NSP) permite definir un límite lógico de aislamiento de red para los recursos PaaS, como un almacén de App Configuration, que se implementan fuera de una red virtual. De forma predeterminada, un perímetro de seguridad de red restringe el acceso de red pública a los recursos de PaaS dentro del perímetro. Sin embargo, puede configurar reglas de acceso explícitas para el tráfico entrante y saliente.
Al asociar un almacén de App Configuration con un perímetro de seguridad de red, puede controlar el tráfico entrante y saliente con reglas de acceso, compartir un conjunto común de reglas entre varios recursos paaS mediante perfiles perimetrales y supervisar el tráfico de red a través de registros de diagnóstico. Para obtener más información, consulte ¿Por qué usar un perímetro de seguridad de red?
Transición a un perímetro de seguridad de red
Una asociación de recursos con un perímetro de seguridad de red admite dos modos de acceso: Transición y Aplicado. El modo de transición está pensado como un paso temporal e intermedio que permite adoptar un perímetro de seguridad de red sin interrumpir la conectividad existente, recurriendo a las reglas de acceso de red existentes del almacén de App Configuration cuando no coincide ninguna regla del perímetro. Consulte Transición a un perímetro de seguridad de red en Azure para obtener información sobre cómo usar el modo de transición para una adopción sin problemas de NSP. Para obtener un desglose de cómo interactúa el modo de acceso de una asociación de recursos con la configuración de acceso de red pública del almacén de App Configuration, consulte Traslado de nuevos recursos al perímetro de seguridad de red.
Aplicación de restricciones de red con un perímetro de seguridad de red
Para aplicar restricciones de red con un perímetro de seguridad de red, asegúrese de que la asociación de recursos del perímetro de seguridad de red esté en modo Forzado. En este modo, el almacén de App Configuration solo permite solicitudes entrantes y salientes permitidas por el perfil perimetral de seguridad de red asociado, independientemente de la configuración de acceso a la red pública del almacén de App Configuration.
Consideraciones para las solicitudes de punto de conexión privado
Las solicitudes entrantes al almacén de App Configuration a través de un punto de conexión privado válido siempre están permitidas por un perímetro de seguridad de red, independientemente del modo de asociación o de las reglas de perfil del perímetro.
Consideraciones sobre el cifrado de claves administradas por el cliente
Si el almacén de App Configuration usa cifrado de claves administradas por el cliente, el servicio App Configuration se comunica con un recurso de Azure Key Vault para acceder a la clave de cifrado. Cuando las solicitudes salientes del almacén están sujetas a reglas de NSP (el acceso a la red pública está protegido por el perímetro o la asociación NSP está en modo aplicado), las reglas de acceso del perímetro deben permitir la comunicación saliente con el recurso Azure Key Vault. Para asegurarse de que el servicio App Configuration puede seguir accediendo a la clave de cifrado, debe configurar el perímetro de seguridad de red de cualquiera de las maneras siguientes:
- Mismo perímetro: Coloque Azure Key Vault en el mismo perímetro de seguridad de red que el almacén de App Configuration. Cuando ambos recursos están dentro del mismo perímetro, se permite la comunicación entre ellos automáticamente.
-
Regla de acceso de salida basada en FQDN: Agregue una regla de acceso de salida basada en un nombre de dominio completo (FQDN) al perfil de perímetro de seguridad de red asociado a su almacén de App Configuration. La regla debe enumerar el punto de conexión del Key Vault que contiene la clave administrada por el cliente (por ejemplo,
mykeyvault.vault.azure.net).
Si no se cumple ninguna condición, el almacén de App Configuration no puede acceder a la clave de cifrado y se producirá un error en las solicitudes al almacén.
Consideraciones para la supervisión
Si el almacén de App Configuration tiene la supervisión habilitada mediante la configuración de diagnóstico, los destinos de registro (como áreas de trabajo de Log Analytics, cuentas de almacenamiento y centros de eventos) deben estar en el mismo perímetro de seguridad de red que el almacén de App Configuration. Las reglas de acceso saliente basadas en FQDN no se aplican a los destinos de supervisión, por lo que cualquier destino fuera del perímetro no recibirá datos de diagnóstico.
Limitaciones
- La compatibilidad de Azure App Configuration con el perímetro de seguridad de red se encuentra actualmente en versión preliminar privada, con acceso limitado a un conjunto de suscripciones.
- Durante la versión preliminar privada, las operaciones del plano de administración perimetral de seguridad de red, como asociar un almacén de App Configuration con un perímetro o ver la configuración de asociación, solo se pueden realizar mediante plantillas de ARM o el CLI de Azure. Para obtener un tutorial sobre cómo asociarse a un almacén de App Configuration mediante la CLI de Azure, consulte Asociar Azure App Configuration a un perímetro de seguridad de red.
- Ciertas características perimetrales de seguridad de red, como las reglas de acceso entrante basadas en suscripciones, no funcionan con la autenticación de clave de acceso. Use la autenticación de Microsoft Entra ID para obtener la funcionalidad completa de NSP.
- En este momento, un almacén de App Configuration en un perímetro de seguridad de red no puede enviar eventos a Azure Event Grid. Si un almacén de App Configuration tiene una suscripción de eventos de Azure App Configuration configurada, no puede asociarse con un perímetro de seguridad de red. De forma similar, si un almacén está asociado a un perímetro de seguridad de red, no se puede habilitar una suscripción de eventos para el almacén.
- Las reglas de acceso entrante basadas en suscripciones y basadas en IP no se aplican al autor de la llamada original para las solicitudes del plano de datos realizadas a través de herramientas de implementación como plantillas de ARM, Bicep o Terraform. Dado que estas solicitudes se reenvían al almacén de App Configuration mediante Azure Resource Manager, la suscripción y la dirección IP del autor original de la llamada no se pasan al perímetro para su evaluación.
Solución de problemas
Errores de acceso a funciones
CLI de Azure
(BadRequest) Esta característica aún no está disponible para una suscripción determinada. Código: BadRequest Mensaje: esta función aún no está disponible para la suscripción especificada
Azure Portal
No se pudo asociar el recurso. Esta característica aún no está disponible para una suscripción determinada.
Estos errores indican que la suscripción que usa no tiene acceso a la característica perimetral de seguridad de red para Azure App Configuration, que se encuentra actualmente en versión preliminar privada.
Errores de registro de RP
Si asocia un almacén de App Configuration a un perímetro de seguridad de red en una suscripción distinta de la del almacén, debe asegurarse de que la suscripción del perímetro de seguridad de red tenga registrado el proveedor de recursos Microsoft.AppConfiguration. Si el proveedor de recursos no está registrado, recibirá el siguiente error al realizar la asociación:
No se puede completar la operación porque la suscripción del perímetro de seguridad de red '{SubscriptionId}' no está registrada para usar el proveedor de recursos "Microsoft". AppConfiguration'. Consulte https://aka.ms/appconfig/NSPTroubleshooting para obtener instrucciones sobre cómo registrar un proveedor de recursos.
Para resolver este error, siga estos pasos:
- Registre el proveedor de recursos
Microsoft.AppConfigurationen la suscripción asociada al perímetro de seguridad de red. - Vuelva a intentar la asociación entre el almacén de App Configuration y el perímetro de seguridad de la red.
Para obtener más información sobre cómo registrar una suscripción en un proveedor de recursos, consulte Registro del proveedor de recursos.
Errores de acceso a claves administradas por el cliente
Si el almacén de App Configuration usa el cifrado de claves administradas por el cliente, es posible que reciba el siguiente error al asociar el almacén con un perímetro de seguridad de red:
No se puede aplicar la asociación perimetral de seguridad de red solicitada porque bloquearía el acceso a la clave administrada por el cliente del almacén de configuración. Consulte https://aka.ms/appconfig/NSPTroubleshooting para obtener instrucciones sobre cómo configurar un NSP para almacenes de configuración que usan una clave administrada por el cliente.
Este error se produce cuando la configuración del perímetro de seguridad de red impediría que el almacén de App Configuration llegara al Azure Key Vault que contiene su clave administrada por el cliente. Para resolver este error, configure el perímetro de seguridad de red para permitir el acceso a la Key Vault tal y como se describe en Considerations para el cifrado de claves administradas por el cliente y vuelva a intentar la asociación.