Přístup ke službě Azure Key Vault za bránou firewall
Jaké porty, hostitele nebo IP adresy mám otevřít, aby klientská aplikace trezoru klíčů za bránou firewall měla přístup k trezoru klíčů?
Pokud chcete umožnit přístup k trezoru klíčů, musí mít klientská aplikace trezoru klíčů přístup k několika koncovým bodům pro různé funkce:
- Ověřování prostřednictvím MICROSOFT Entra ID.
- Správa služby Azure Key Vault. Jedná se o vytváření, čtení, aktualizaci, odstraňování a nastavování zásad přístupu prostřednictvím Azure Resource Manageru.
- Přístup k objektům (klíčům a tajným kódům) uloženým ve službě Key Vault a správa těchto objektů probíhají přes koncový bod specifický pro službu Key Vault (například
https://yourvaultname.vault.azure.net).
V závislosti na vaší konfiguraci a prostředí existuje několik variant.
Porty
Veškerý provoz směřující do trezoru klíčů pro všechny tři funkce (ověřování, správa a přístup k rovině dat) prochází přes protokol HTTPS: port 443. Nicméně u seznamu CRL může občas docházet k provozu přes protokol HTTP (na portu 80). Klienti, kteří podporují OCSP, by se neměli spojit se seznamem CRL, ale občas se můžou spojit s koncovými body seznamu CRL, které jsou zde uvedeny.
Ověřování
Klientské aplikace služby Key Vault budou muset pro ověřování přistupovat ke koncovým bodům Microsoft Entra. Použitý koncový bod závisí na konfiguraci tenanta Microsoft Entra, typu instančního objektu (objektu zabezpečení uživatele nebo instančního objektu) a typu účtu – například účet Microsoft nebo pracovní nebo školní účet.
| Typ objektu zabezpečení | Koncový bod:port |
|---|---|
| Uživatel používající účet Microsoft (například user@hotmail.com) |
Globální: login.microsoftonline.com:443 Microsoft Azure provozovaný společností 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Germany: login.microsoftonline.de:443 A login.live.com:443 |
| Uživatel nebo instanční objekt používající pracovní nebo školní účet s ID Microsoft Entra (například user@contoso.com) | Globální: login.microsoftonline.com:443 Microsoft Azure provozovaný společností 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 Azure Germany: login.microsoftonline.de:443 |
| Uživatel nebo instanční objekt používající pracovní nebo školní účet a službu Active Directory Federation Services (AD FS) nebo jiný federovaný koncový bod (například user@contoso.com) | Všechny koncové body pro pracovní nebo školní účet a AD FS nebo jiné federované koncové body |
Existují i další možné komplexní scénáře. Další informace najdete v tématu Microsoft Entra Authentication Flow, integrace aplikací s MICROSOFT Entra ID a ověřovací protokoly služby Active Directory.
Správa služby Key Vault
Pro správu služby Key Vault (CRUD a nastavení zásad přístupu) je nutné, aby klientská aplikace trezoru klíčů měla přístup ke koncovému bodu Azure Resource Manageru.
| Typ operace | Koncový bod:port |
|---|---|
| Operace roviny řízení služby Key Vault prostřednictvím Azure Resource Manageru |
Globální: management.azure.com:443 Microsoft Azure provozovaný společností 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 Azure Germany: management.microsoftazure.de:443 |
| Microsoft Graph API | Globální: graph.microsoft.com:443 Microsoft Azure provozovaný společností 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 Azure Germany: graph.cloudapi.de:443 |
Operace služby Key Vault
Pro všechny operace správy objektů trezoru klíčů (klíče a tajné kódy) a kryptografické operace je nutné, aby klient trezoru klíčů měl přístup ke koncovému bodu trezoru klíčů. V závislosti na umístění trezoru klíčů se bude lišit přípona DNS koncového bodu. Koncový bod trezoru klíčů je ve formátu název_trezoru.přípona_dns_konkrétní_oblasti, jak je popsáno v tabulce níže.
| Typ operace | Koncový bod:port |
|---|---|
| Operace, včetně kryptografických operací na klíčích; vytváření, čtení, aktualizace nebo odstraňování klíčů a tajných kódů; nastavování nebo získávání značek a jiných atributů objektů trezoru klíčů (klíče a tajné kódy) | Globální: <název_trezoru>.vault.azure.net:443 Microsoft Azure provozovaný společností 21Vianet: <název_trezoru>.vault.azure.cn:443 Azure US Government: <název_trezoru>.vault.usgovcloudapi.net:443 Azure Germany: <název_trezoru>.vault.microsoftazure.de:443 |
Rozsahy IP adres
Služba Key Vault používá jiné prostředky Azure, například infrastrukturu modelu PaaS. Proto není možné poskytnout konkrétní rozsah IP adres, který budou mít koncové body služby Key Vault v určitém čase. Pokud vaše brána firewall podporuje jenom rozsahy IP adres, projděte si dokumenty rozsahů IP adres datacentra Microsoft Azure, které jsou k dispozici na adrese:
Ověřování a identita (Microsoft Entra ID) je globální služba a může převzít služby při selhání do jiných oblastí nebo přesunout provoz bez předchozího upozornění. V tomto scénáři by měly být všechny rozsahy IP adres uvedené v seznamu IP adres pro ověřování a identitu přidány do brány firewall.
Další kroky
Pokud máte dotazy týkající se služby Key Vault, navštivte stránku s dotazy týkající se služby Microsoft Q&A pro Azure Key Vault.