Acceso a Azure Key Vault desde detrás de un firewall
¿Qué puertos, hosts y direcciones IP debo abrir para habilitar mi cliente de almacén de claves detrás de un firewall para acceder al almacén de claves?
Para acceder a un almacén de claves, la aplicación cliente de Key Vault tiene que acceder a varios puntos de conexión para diversas funcionalidades:
- Autenticación mediante Microsoft Entra ID.
- Administración de Azure Key Vault. Aquí se incluye la creación, lectura, actualización, eliminación y establecimiento de directivas de acceso a través de Azure Resource Manager.
- Acceso y administración de objetos (claves y secretos) almacenados en la propia instancia de Key Vault a través del punto de conexión específico de Key Vault (por ejemplo,
https://yourvaultname.vault.azure.net).
En función de su configuración y entorno, hay algunas variaciones.
Puertos
Todo el tráfico a un almacén de claves de las tres funciones (autenticación, la administración y acceso al plano de datos) se realiza a través de HTTPS: puerto 443. Sin embargo, ocasionalmente habrá tráfico HTTP (puerto 80) para CRL. Los clientes que admiten OCSP no deberían poder acceder a la CRL, pero a veces pueden acceder a los puntos de conexión de CRL indicados aquí.
Autenticación
Será preciso que las aplicaciones cliente de Key Vault se autentiquen mediante los puntos de conexión de Microsoft Entra. El punto de conexión que se use depende de la configuración del inquilino de Microsoft Entra, del tipo de entidad de seguridad (entidad de seguridad de usuario o entidad de servicio) y del tipo de cuenta (por ejemplo, una cuenta Microsoft o una cuenta profesional o educativa).
| Tipo de entidad de seguridad | Punto de conexión:puerto |
|---|---|
| Usuario que utiliza cuenta Microsoft (por ejemplo, user@hotmail.com) |
Global: login.microsoftonline.com:443 Microsoft Azure operado por 21Vianet: login.chinacloudapi.cn:443 Azure US Gov: login.microsoftonline.us:443 Azure Alemania: login.microsoftonline.de:443 y login.live.com:443 |
| Entidad de seguridad de usuario o de servicio con una cuenta profesional o educativa con Microsoft Entra ID (por ejemplo, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure operado por 21Vianet: login.chinacloudapi.cn:443 Azure US Gov: login.microsoftonline.us:443 Azure Alemania: login.microsoftonline.de:443 |
| Entidad de seguridad de usuario o de servicio con una cuenta profesional o educativa, más Servicios de federación de Active Directory (AD FS) u otro punto de conexión federado (por ejemplo, user@contoso.com) | Todos los puntos de conexión de una cuenta profesional o educativa, más AD FS u otros puntos de conexión federados |
Hay otros escenarios complejos posibles. Para más información, consulte Flujo de autenticación de Microsoft Entra, Integración de aplicaciones con Microsoft Entra ID y Protocolos de autenticación de Active Directory.
Administración de Key Vault
Para la administración de Key Vault (CRUD y establecimiento de una directiva de acceso), es preciso que la aplicación cliente de Key Vault acceda a un punto de conexión de Azure Resource Manager.
| Tipo de operación | Punto de conexión:puerto |
|---|---|
| Operaciones del plano de control de Key Vault a través de Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado por 21Vianet: management.chinacloudapi.cn:443 Azure US Gov: management.usgovcloudapi.net:443 Azure Alemania: management.microsoftazure.de:443 |
| Microsoft Graph API | Global: graph.microsoft.com:443 Microsoft Azure operado por 21Vianet: graph.chinacloudapi.cn:443 Azure US Gov: graph.microsoft.com:443 Azure Alemania: graph.cloudapi.de:443 |
Operaciones de Key Vault
Para todas las operaciones criptográficas y de administración de objetos (claves y secretos) de Key Vault, es preciso que el cliente de Key Vault acceda al punto de conexión de Key Vault. En función de la ubicación del almacén de claves, el sufijo DNS del punto de conexión varía. El punto de conexión de Key Vault tiene el formato vault-name.region-specific-dns-suffix, como se describe en la tabla siguiente.
| Tipo de operación | Punto de conexión:puerto |
|---|---|
| Operaciones que incluyen operaciones criptográficas en claves; crear, leer, actualizar y eliminar claves y secretos; establecer u obtener etiquetas y otros atributos de objetos de Key Vault (claves o secretos) | Global: <vault-name>.vault.azure.net:443 Microsoft Azure operado por 21Vianet: <vault-name>.vault.azure.cn:443 Azure US Gov: <vault-name>.vault.usgovcloudapi.net:443 Azure Alemania: <vault-name>.vault.microsoftazure.de:443 |
Intervalos de direcciones IP
El servicio Key Vault utiliza otros recursos de Azure como la infraestructura de PaaS. Por consiguiente, no es posible proporcionar un intervalo específico de direcciones IP que los puntos de conexión del servicio Key Vault tendrán en un momento concreto. Si el firewall solo admite intervalos de direcciones IP, consulte los documentos sobre los intervalos de direcciones IP del centro de datos de Microsoft Azure:
Autenticación e identidad (Microsoft Entra ID) es un servicio global que puede conmutar por error en otras regiones o mover tráfico sin previo aviso. En este escenario, todos los intervalos IP enumerados en Direcciones IP de Authentication and Identity deben agregarse al firewall.
Pasos siguientes
Si le queda alguna duda acerca de Key Vault, visite la página de preguntas más frecuentes de Microsoft para Azure Key Vault.