Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Jaké porty, hostitele nebo IP adresy mám otevřít, aby klientská aplikace trezoru klíčů za bránou firewall měla přístup k trezoru klíčů?
Pro přístup k trezoru klíčů musí klientská aplikace trezoru klíčů přistupovat k několika koncovým bodům pro různé funkce:
- Ověřování prostřednictvím MICROSOFT Entra ID.
- Správa služby Azure Key Vault To zahrnuje vytváření, čtení, aktualizaci, odstraňování a nastavení zásad přístupu prostřednictvím Azure Resource Manageru.
- Přístup k objektům (klíčům a tajným kódům) uloženým v samotné službě Key Vault a jejich správa procházející koncovým bodem specifický pro Key Vault (například
https://yourvaultname.vault.azure.net).
V závislosti na konfiguraci a prostředí existují určité varianty.
Přístavy
Veškerý provoz do trezoru klíčů pro všechny tři funkce (ověřování, správa a přístup k rovině dat) prochází přes HTTPS: port 443. Občas ale bude pro seznam CRL existovat přenos HTTP (port 80). Klienti, kteří podporují OCSP, by se neměli spojit se seznamem CRL, ale občas se můžou spojit s koncovými body seznamu CRL, které jsou zde uvedeny.
Autentizace
Klientské aplikace služby Key Vault budou muset pro ověřování přistupovat ke koncovým bodům Microsoft Entra. Použitý koncový bod závisí na konfiguraci tenanta Microsoft Entra, typu principála (uživatelský principál nebo služební principál) a typu účtu – například účet Microsoft nebo pracovní či školní účet.
| Typ subjektu | Koncový bod:port |
|---|---|
| Uživatel používající účet Microsoft (například user@hotmail.com) |
login.live.com:443 Globální: login.microsoftonline.com:443 Microsoft Azure provozovaný společností 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Uživatel nebo instanční objekt používající pracovní nebo školní účet s ID Microsoft Entra (například user@contoso.com) |
Globální: login.microsoftonline.com:443 Microsoft Azure provozovaný společností 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Uživatel nebo služební jednotka s pracovním nebo školním účtem plus služby Active Directory Federation Services (AD FS) nebo jiného federovaného koncového bodu (například user@contoso.com) | Všechny koncové body pro pracovní nebo školní účet, plus Active Directory Federation Services nebo jiné federované koncové body |
Existují i další možné složité scénáře. Další informace najdete v tématu Microsoft Entra Authentication Flow, integrace aplikací s MICROSOFT Entra ID a ověřovací protokoly služby Active Directory .
Správa služby Key Vault
Pro správu služby Key Vault (CRUD a nastavení zásad přístupu) potřebuje klientská aplikace trezoru klíčů přístup ke koncovému bodu Azure Resource Manageru.
| Typ operace | Koncový bod:port |
|---|---|
| Operace na řídicí rovině služby Key Vault prostřednictvím Azure Resource Manageru |
Globální: management.azure.com:443 Microsoft Azure provozovaný společností 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| Microsoft Graph API |
Globální: graph.microsoft.com:443 Microsoft Azure provozovaný společností 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Operace služby Key Vault
Pro všechny operace správy a kryptografických operací trezoru klíčů (klíčů a tajných kódů) potřebuje klient trezoru klíčů přístup ke koncovému bodu trezoru klíčů. Přípona DNS koncového bodu se liší v závislosti na umístění trezoru klíčů. Koncový bod trezoru klíčů má formát název-trezoru.přípona-DNS-specifická-pro-konkretni-oblast, jak je popsáno v následující tabulce.
| Typ operace | Koncový bod:port |
|---|---|
| Operace včetně kryptografických operací s klíči; vytváření, čtení, aktualizace a odstraňování klíčů a tajných klíčů; nastavení nebo získání značek a dalších atributů u objektů trezoru klíčů (klíčů nebo tajných kódů) |
Globální: <název_trezoru>.vault.azure.net:443 Microsoft Azure provozovaný společností 21Vianet: <název_trezoru>.vault.azure.cn:443 Azure US Government: <název_trezoru>.vault.usgovcloudapi.net:443 |
Rozsahy IP adres
Služba Key Vault používá další prostředky Azure, jako je infrastruktura PaaS. Proto není možné poskytnout konkrétní rozsah IP adres, které budou mít koncové body služby Key Vault v každém konkrétním okamžiku. Pokud vaše brána firewall podporuje jenom rozsahy IP adres, projděte si dokumenty rozsahů IP adres datacentra Microsoft Azure, které jsou k dispozici na adrese:
Ověřování a identita (Microsoft Entra ID) je globální služba a může přenést provoz do jiných regionů při selhání nebo přesunout síťový provoz bez upozornění. V tomto scénáři by se měly do brány firewall přidat všechny rozsahy IP adres uvedené v části Ověřování a identifikační IP adresy.
Další kroky
Pokud máte dotazy týkající se služby Key Vault, navštivte stránku s dotazy týkající se služby Microsoft Q&A pro Azure Key Vault.