Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
¿Qué puertos, hosts o direcciones IP debo abrir para habilitar mi aplicación cliente del almacén de claves detrás de un firewall para acceder al almacén de claves?
Para acceder a un almacén de claves, la aplicación cliente de Key Vault tiene que acceder a varios puntos de conexión para diversas funcionalidades:
- Autenticación a través de Microsoft Entra ID.
- Administración de Azure Key Vault. Esto incluye la creación, lectura, actualización, eliminación y configuración de directivas de acceso a través de Azure Resource Manager.
- Acceso y administración de objetos (claves y secretos) almacenados en Key Vault, pasando por el punto de conexión específico de Key Vault (por ejemplo,
https://yourvaultname.vault.azure.net).
Según la configuración y el entorno, hay algunas variaciones.
Puertos
Todo el tráfico a un almacén de claves para las tres funciones (autenticación, administración y acceso al plano de datos) pasa a través de HTTPS: puerto 443. Sin embargo, ocasionalmente habrá tráfico HTTP (puerto 80) para CRL. Los clientes que soportan OCSP no deberían acceder a CRL, pero en ocasiones pueden acceder a los puntos de conexión de CRL que se enumeran aquí.
Autenticación
Las aplicaciones cliente de Key Vault tendrán que acceder a los puntos de conexión de Microsoft Entra para la autenticación. El punto de conexión usado depende de la configuración de la entidad de Microsoft Entra, del tipo de principal (principal de usuario o principal de servicio) y del tipo de cuenta, por ejemplo, una cuenta de Microsoft o una cuenta corporativa o educativa.
| Tipo de entidad principal | Punto de conexión:puerto |
|---|---|
| Usuario que usa la cuenta Microsoft (por ejemplo, user@hotmail.com) |
login.live.com:443 Global: login.microsoftonline.com:443 Microsoft Azure operado por 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Entidad de seguridad de usuario o de servicio con una cuenta profesional o educativa con Microsoft Entra ID (por ejemplo, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure operado por 21Vianet: login.chinacloudapi.cn:443 Azure US Government: login.microsoftonline.us:443 |
| Entidad de seguridad de usuario o de servicio con una cuenta profesional o educativa, más Servicios de federación de Active Directory (AD FS) u otro punto de conexión federado (por ejemplo, user@contoso.com) | Todos los puntos de conexión de una cuenta profesional o educativa, además de AD FS u otros puntos de conexión federados |
Hay otros escenarios complejos posibles. Consulte Flujo de autenticación de Microsoft Entra, Integración de aplicaciones con microsoft Entra ID y Protocolos de autenticación de Active Directory para obtener información adicional.
Administración de Key Vault
Para la administración de Key Vault (CRUD y la configuración de la directiva de acceso), la aplicación cliente del almacén de claves debe acceder a un punto de conexión de Azure Resource Manager.
| Tipo de operación | Punto de conexión:puerto |
|---|---|
| Operaciones del plano de control de Key Vault a través de Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado por 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443 |
| API de Microsoft Graph | Global: graph.microsoft.com:443 Microsoft Azure operado por 21Vianet: graph.chinacloudapi.cn:443 Azure US Government: graph.microsoft.com:443 |
Operaciones de Key Vault
Para todas las operaciones criptográficas y de administración de objetos (claves y secretos) de Key Vault, es preciso que el cliente de Key Vault acceda al punto de conexión de Key Vault. En función de la ubicación del almacén de claves, el sufijo DNS del punto de conexión varía. El punto de conexión del almacén de claves tiene el formato nombre-del-almacén.sufijo-dns-específico-de-la-región, como se describe en la tabla siguiente.
| Tipo de operación | Punto de conexión:puerto |
|---|---|
| Operaciones que incluyen operaciones criptográficas en claves; crear, leer, actualizar y eliminar claves y secretos; establecer u obtener etiquetas y otros atributos en objetos de key vault (claves o secretos) | Global: <nombre de almacén>.vault.azure.net:443 Microsoft Azure operado por 21Vianet: <nombre de almacén>.vault.azure.cn:443 Azure US Government: <nombre de almacén>.vault.usgovcloudapi.net:443 |
Intervalos de direcciones IP
El servicio Key Vault usa otros recursos de Azure, como la infraestructura de PaaS. Por lo tanto, no es posible proporcionar un intervalo específico de direcciones IP que tendrán los puntos de conexión de servicio de Key Vault en cualquier momento determinado. Si el firewall solo admite intervalos de direcciones IP, consulte los documentos de Intervalos IP del centro de datos de Microsoft Azure disponibles en:
Autenticación e identidad (Microsoft Entra ID) es un servicio global que puede conmutar por error en otras regiones o mover tráfico sin previo aviso. En este escenario, todos los intervalos IP enumerados en Autenticación e direcciones IP de identidad deben agregarse al firewall.
Pasos siguientes
Si tiene preguntas sobre Key Vault, visite la página de preguntas de Preguntas y respuestas de Microsoft para Azure Key Vault.