KeyVault防火墙配置和Azure功能消耗计划

我有一个KeyVault，里面有一些秘密。我已使用一些有限的客户端IP配置防火墙，并确保“允许受信任的Microsoft服务绕过此防火墙”设置为“是”。

但是，当我尝试从Azure功能连接并检索秘密（使用托管服务标识）时，我得到403，禁止。如果我关闭防火墙（即“允许所有网络访问”），那么它可以正常工作。

在（i）信息框中，它表示支持Azure应用服务（Web应用程序）。我认为这也会涵盖功能应用，但显然不是。

我知道我可以使用S1计划和VNET（并将KeyVault加入同一个VNET），但之后我们失去了消费计划的灵活性。

我考虑过为相关数据中心添加整个Azure IP范围，但我不想要管理费用。

关于如何使用防火墙保护KeyVault但仍能从消费计划中运行的功能访问它的任何其他想法？