Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Welche Ports, Hosts oder IP-Adressen sollte ich öffnen, um meine Schlüsseltresor-Clientanwendung hinter einer Firewall für den Zugriff auf den Schlüsseltresor zu aktivieren?
Um auf einen Schlüsseltresor zuzugreifen, muss Ihre Key Vault-Clientanwendung auf mehrere Endpunkte für verschiedene Funktionen zugreifen:
- Authentifizierung über Microsoft Entra ID.
- Verwaltung von Azure Key Vault. Dazu gehören das Erstellen, Lesen, Aktualisieren, Löschen und Festlegen von Zugriffsrichtlinien über Azure Resource Manager.
- Zugriff auf und Verwaltung von Objekten (Schlüsseln und Geheimnissen), die im Key Vault selbst gespeichert sind, erfolgt über den Key Vault-spezifischen Endpunkt (z. B.
https://yourvaultname.vault.azure.net).
Je nach Konfiguration und Umgebung gibt es einige Variationen.
Häfen
Der gesamte Datenverkehr an einen Schlüsseltresor verläuft für alle drei Funktionen (Authentifizierung, Verwaltung und Datenebenenzugriff) über „HTTPS: Port 443“. Gelegentlich fällt aber auch HTTP-Datenverkehr (Port 80) für CRL an. Clients, die OCSP unterstützen, sollten keine CRL erreichen, können aber gelegentlich CRL-Endpunkte erreichen, die hier aufgeführt sind.
Authentifizierung
Key Vault-Clientanwendungen müssen für die Authentifizierung auf Microsoft Entra-Endpunkte zugreifen. Der verwendete Endpunkt hängt von der Microsoft Entra-Mandantenkonfiguration, dem Prinzipaltyp (Benutzerprinzipal oder Dienstprinzipal) und dem Typ des Kontos ab, z. B. einem Microsoft-Konto oder einem Geschäfts-, Schul- oder Unikonto.
| Prinzipaltyp | Endpunkt:Port |
|---|---|
| Benutzer, der Microsoft-Konto verwendet (Beispiel: user@hotmail.com) |
login.live.com:443 Global: login.microsoftonline.com:443 Microsoft Azure betrieben von 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Benutzer- oder Dienstprinzipal mit einem Geschäfts-, Schul- oder Unikonto bei Microsoft Entra ID (z. B. user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure betrieben von 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Benutzer- oder Dienstprinzipal mit einem Geschäfts-, Schul- oder Unikonto plus Active Directory-Verbunddienste (AD FS) oder einem anderen Verbundendpunkt (z. B. user@contoso.com) | Alle Endpunkte für ein Geschäfts-, Schul- oder Universitätskonto sowie AD FS oder andere föderierte Endpunkte |
Es gibt andere mögliche komplexe Szenarien. Weitere Informationen finden Sie unter Microsoft Entra Authentication Flow, Integration von Anwendungen mit Microsoft Entra ID und Active Directory-Authentifizierungsprotokolle .
Schlüsseltresorverwaltung
Für die Key Vault-Verwaltung (CRUD und Festlegen der Zugriffsrichtlinie) muss die Clientanwendung für den Schlüsseltresor auf einen Azure Resource Manager-Endpunkt zugreifen.
| Typ des Vorgangs | Endpunkt:Port |
|---|---|
| Vorgänge auf der Steuerungsebene des Schlüsseltresors über Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure betrieben von 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| Microsoft Graph-API | Global: graph.microsoft.com:443 Microsoft Azure betrieben von 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Schlüsseltresorvorgänge
Für alle Schlüsseltresorobjektverwaltung (Schlüssel und geheime Schlüssel) und kryptografische Vorgänge muss der Schlüsseltresorclient auf den Schlüsseltresor-Endpunkt zugreifen. Das DNS-Suffix des Endpunkts variiert je nach Standort Ihres Key Vault. Der Schlüsseltresorendpunkt hat das folgende Format: Tresorname.regionsspezifisches DNS-Suffix. Dies ist in der Tabelle unten beschrieben.
| Typ des Vorgangs | Endpunkt:Port |
|---|---|
| Vorgänge, z. B. kryptografische Vorgänge für Schlüssel, Erstellen, Lesen, Aktualisieren und Löschen von Schlüsseln und Geheimnissen, Festlegen oder Abrufen von Tags und anderen Attributen für Sicherheitstresorobjekte (Schlüssel oder Geheimnisse) | Global: <Tresorname>.vault.azure.net:443 Microsoft Azure betrieben von 21Vianet: <Tresorname>.vault.azure.cn:443 Azure US Government: <Vault-Name>.vault.usgovcloudapi.net:443 |
IP-Adressbereiche
Der Key Vault-Dienst verwendet andere Azure-Ressourcen wie paaS-Infrastruktur. Daher ist es nicht möglich, einen bestimmten Bereich von IP-Adressen bereitzustellen, über den Key Vault-Dienstendpunkte zu einem bestimmten Zeitpunkt verfügen. Wenn Ihre Firewall nur IP-Adressbereiche unterstützt, helfen Ihnen die Informationen in den folgenden Dokumenten zu den IP-Bereichen für Microsoft Azure Datacenter weiter:
Authentifizierung und Identität (Microsoft Entra ID) ist ein globaler Dienst und kann ohne vorherige Ankündigung ein Failover auf andere Regionen durchführen oder Datenverkehr verlagern. In diesem Szenario sollten alle in Authentifizierungs- und Identitäts-IP-Adressen aufgeführten IP-Bereiche der Firewall hinzugefügt werden.
Nächste Schritte
Wenn Sie Fragen zu Key Vault haben, besuchen Sie die Microsoft Q&A-Frageseite für Azure Key Vault.