قم بالوصول إلى Azure Key Vault خلف جدار الحماية
ما المنافذ أو المضيفين أو عناوين IP التي يجب فتحها لتمكين تطبيق عميل Key Vault خلف جدار حماية من الوصول إلى Key Vault؟
للوصول إلى key vault، يجب أن يصل تطبيق عميل المخزن الرئيسي الخاص بك إلى نقاط نهاية متعددة للوظائف المختلفة:
- المصادقة عبر معرف Microsoft Entra.
- إدارة Azure Key Vault. يتضمن ذلك إنشاء سياسات الوصول وقراءتها وتحديثها وحذفها وتعيينها من خلال Azure Resource Manager.
- الوصول إلى وإدارة العناصر (المفاتيح والأسرار) المخزنة في Key Vault نفسه، مرورًا عبر نقطة النهاية الخاصة Key Vault (على سبيل
https://yourvaultname.vault.azure.net
المثال).
اعتمادًا على التكوين والبيئة الخاصة بك، هناك بعض الاختلافات.
منافذ
تمر جميع حركات المرور إلى Key Vault لجميع الوظائف الثلاث (المصادقة والإدارة والوصول إلى مستوى البيانات) عبر HTTPS: المنفذ 443. ومع ذلك، سيكون هناك في بعض الأحيان حركة مرور HTTP (المنفذ 80) لـ CRL. يجب ألا يصل العملاء الذين يدعمون OCSP إلى CRL، ولكن قد يصلون أحيانا إلى نقاط نهاية CRL المدرجة هنا.
المصادقة
ستحتاج تطبيقات عميل Key vault إلى الوصول إلى نقاط نهاية Microsoft Entra للمصادقة. تعتمد نقطة النهاية المستخدمة على تكوين مستأجر Microsoft Entra ونوع الأساسي (مدير المستخدم أو مدير الخدمة) ونوع الحساب - على سبيل المثال، حساب Microsoft أو حساب العمل أو المؤسسة التعليمية.
النوع الرئيسي | نقطة النهاية: المنفذ |
---|---|
مستخدم يستخدم حساب Microsoft (على سبيل المثال، user@hotmail.com) |
عمومي: login.microsoftonline.com:443 Microsoft Azure المشغل بواسطة 21Vianet: login.chinacloudapi.cn:443 حكومة Azure الأمريكية: login.microsoftonline.us:443 Azure ألمانيا: login.microsoftonline.de:443 و login.live.com:443 |
المستخدم أو مدير الخدمة باستخدام حساب العمل أو المؤسسة التعليمية مع معرف Microsoft Entra (على سبيل المثال، user@contoso.com) | عمومي: login.microsoftonline.com:443 Microsoft Azure المشغل بواسطة 21Vianet: login.chinacloudapi.cn:443 حكومة Azure الأمريكية: login.microsoftonline.us:443 Azure ألمانيا: login.microsoftonline.de:443 |
مستخدم أو مدير خدمة يستخدم حساب العمل أو المدرسة، بالإضافة إلى خدمات اتحاد الدليل النشط (AD FS) أو نقطة نهاية موحدة أخرى (على سبيل المثال، user@contoso.com) | جميع نقاط النهاية لحساب العمل أو المدرسة، بالإضافة إلى AD FS أو نقاط النهاية الموحدة الأخرى |
هناك سيناريوهات معقدة أخرى محتملة. راجع تدفق مصادقة Microsoft Entra، ودمج التطبيقات مع معرف Microsoft Entra، وبروتوكولات مصادقة Active Directory للحصول على معلومات إضافية.
إدارة Key Vault
لإدارة Key Vault (CRUD وتعيين نهج الوصول)، يحتاج تطبيق عميل مخزن المفاتيح إلى الوصول إلى نقطة نهاية Azure Resource Manager.
نوع العملية | نقطة النهاية: المنفذ |
---|---|
عمليات طائرة التحكم في Key Vault عبر Azure Resource Manager |
عمومي: management.azure.com:443 Microsoft Azure المشغل بواسطة 21Vianet: management.chinacloudapi.cn:443 حكومة Azure الأمريكية: management.usgovcloudapi.net:443 Azure ألمانيا: management.microsoftazure.de:443 |
واجهة برمجة التطبيقات Microsoft Graph | عمومي: graph.microsoft.com:443 Microsoft Azure المشغل بواسطة 21Vianet: graph.chinacloudapi.cn:443 حكومة Azure الأمريكية: graph.microsoft.com:443 Azure ألمانيا: graph.cloudapi.de:443 |
عمليات Key Vault
بالنسبة إلى جميع عمليات إدارة وعناصر Key Vault (المفاتيح والأسرار) والتشفير، يحتاج عميل Key Vault إلى الوصول إلى نقطة نهاية Key Vault. تختلف لاحقة DNS لنقطة النهاية اعتمادًا على موقع خزينة المفاتيح الخاصة بك. تكون نقطة نهاية المخزن الرئيسي بالتنسيق اسم المخزن . لاحقة DNS الخاصة بالمنطقة ، كما هو موضح في الجدول التالي.
نوع العملية | نقطة النهاية: المنفذ |
---|---|
للعمليات بما في ذلك عمليات التشفير على المفاتيح؛ وإنشاء المفاتيح والأسرار وقراءتها وتحديثها وحذفها؛ ووضع أو الحصول على العلامات والسمات الأخرى على عناصر Key Vault (مفاتيح أو أسرار) | عمومي: <vault-name>.vault.azure.net:443 Microsoft Azure المشغل بواسطة 21Vianet: <vault-name>.vault.azure.cn:443 حكومة Azure الأمريكية: <vault-name>.vault.usgovcloudapi.net:443 Azure ألمانيا: <vault-name>.vault.microsoftazure.de:443 |
نطاقات عناوين IP
خدمة Key Vault تستخدم Azure resources الأخرى مثل البنية الأساسية للـ PaaS. لذلك لا يمكن توفير مجموعة محددة من عناوين IP التي ستكون لنقاط نهاية خدمة Key Vault في أي وقت معين. إذا كان جدار الحماية يدعم نطاقات عناوين IP فقط، فارجع إلى مستندات نطاقات عناوين IP في مركز بيانات Microsoft Azure المتوفرة على:
المصادقة والهوية (معرف Microsoft Entra) هي خدمة عمومية وقد تفشل في مناطق أخرى أو تنقل نسبة استخدام الشبكة دون إشعار. في هذا السيناريو، يجب إضافة كافة نطاقات IP المدرجة في عناوين IP الخاصة بالمصادقة والهوية إلى جدار الحماية.
الخطوات التالية
إذا كانت لديك أسئلة حول Key Vault، فتفضل بزيارة صفحة أسئلة Microsoft Q&A الخاصة بـ Azure Key Vault .