Accès à Azure Key Vault derrière un pare-feu
Quels ports, hôtes ou adresses IP dois-je ouvrir pour permettre à mon application cliente de coffre de clés derrière un pare-feu d’accéder au coffre de clés ?
Pour accéder à un coffre de clés, votre application cliente de coffre de clés doit accéder à plusieurs points de terminaison pour différentes fonctionnalités :
- Authentification via Azure Active Directory (Azure AD).
- Gestion d’un coffre Azure Key Vault. Cela inclut la création, la lecture, la mise à jour, la suppression et la définition de stratégies d’accès par le biais d’Azure Resource Manager.
- L’accès et la gestion des objets (clés et secrets) stockés dans le coffre de clés lui-même passent par le point de terminaison spécifique à Key Vault (par exemple,
https://yourvaultname.vault.azure.net).
Il existe des variantes selon votre configuration et l’environnement.
Ports
Tout le trafic vers le coffre de clés pour chacune des 3 fonctions (authentification, gestion et accès au plan de données) passe par le protocole HTTPS : port 443. Cependant, il faut compter occasionnellement sur un trafic HTTP (port 80) pour les CRL. Les clients qui prennent en charge le protocole OCSP ne doivent pas atteindre les CRL, mais peuvent occasionnellement atteindre http://cdp1.public-trust.com/CRL/Omniroot2025.crl.
Authentification
L’application cliente de coffre de clés doit accéder aux points de terminaison Azure Active Directory pour l’authentification. Le point de terminaison utilisé dépend de la configuration du locataire Azure AD, du type de principal (principal d’utilisateur ou principal du service) et du type de compte (par exemple, compte Microsoft ou ID d’organisation).
| Type de principal | Point de terminaison:port |
|---|---|
| Utilisateur utilisant un compte Microsoft (Par exemple, user@hotmail.com) |
Mondial : login.microsoftonline.com:443 Azure China : login.chinacloudapi.cn:443 Azure US Government : login.microsoftonline.us:443 Azure Germany : login.microsoftonline.de:443 and login.live.com:443 |
| Utilisateur ou principal du service utilisant un compte professionnel ou scolaire avec Azure AD (par exemple, user@contoso.com) | Mondial : login.microsoftonline.com:443 Azure China : login.chinacloudapi.cn:443 Azure US Government : login.microsoftonline.us:443 Azure Germany : login.microsoftonline.de:443 |
| Utilisateur ou principal du service utilisant un compte professionnel ou scolaire, plus Active Directory Federation Services (AD FS) ou un autre point de terminaison fédéré (par exemple, user@contoso.com) | Tous les points de terminaison correspondant à un compte professionnel ou scolaire, plus AD FS ou d’autres points de terminaison fédérés |
D’autres scénarios complexes sont possibles. Pour plus d’informations, reportez-vous à Azure Active Directory Authentication Flow (Flux d’authentification d’Azure Active Directory), Intégration d’applications dans Azure Active Directory et Protocoles d’authentification Active Directory.
Gestion de Key Vault
Pour la gestion d’un coffre de clés Key Vault (CRUD et définition de la stratégie d’accès), l’application cliente de coffre de clés doit accéder au point de terminaison Azure Resource Manager.
| Type d’opération | Point de terminaison:port |
|---|---|
| Opérations du plan de contrôle Key Vault via Azure Resource Manager |
Mondial : management.azure.com:443 Azure China : management.chinacloudapi.cn:443 Azure US Government : management.usgovcloudapi.net:443 Azure Germany : management.microsoftazure.de:443 |
| API Microsoft Graph | Mondial : graph.microsoft.com:443 Azure China : graph.chinacloudapi.cn:443 Azure US Government : graph.microsoft.com:443 Azure Germany : graph.cloudapi.de:443 |
Opérations Key Vault
Pour toutes les opérations de gestion et de chiffrement d’objets (clés et secrets), le client de coffre de clés doit accéder au point de terminaison du coffre de clés. Le suffixe DNS du point de terminaison varie en fonction de l’emplacement de votre coffre de clés. Le point de terminaison du coffre de clés est au format nom du coffre.suffixe-dns-spécifique-à-la-région, comme indiqué dans le tableau ci-dessous.
| Type d’opération | Point de terminaison:port |
|---|---|
| Opérations telles que le chiffrement sur les clés, création/lecture/mise à jour/suppression de clés et de secrets, définition/obtention de mots-clés et autres attributs sur objets de coffre de clés (clés ou secrets) | Mondial : <nom du coffre>.vault.azure.net:443 Azure China : <nom du coffre>.vault.azure.cn:443 Azure US Government : <nom du coffre>.vault.usgovcloudapi.net:443 Azure Germany : <nom du coffre>.vault.microsoftazure.de:443 |
Plages d’adresse IP
Le service Key Vault utilise d’autres ressources Azure telles que l’infrastructure PaaS, de sorte qu’il n’est pas possible de fournir une plage spécifique des adresses IP qu’auront les points de terminaison Key Vault à un moment donné. Si votre pare-feu prend en charge uniquement des plages d’adresses IP, consultez les documents Plages IP des centres de données Microsoft Azure disponibles aux emplacements suivants :
L’authentification et l’identité (Azure Active Directory) est un service global et peut basculer vers d’autres régions ou réacheminer du trafic sans avertissement. Dans ce scénario, toutes les plages d’adresses IP répertoriées dans Adresse IP d’authentification et d’identité doivent être ajoutées au pare-feu.
Étapes suivantes
Pour toute question concernant Key Vault, rendez-vous sur la page de questions Microsoft Q&A consacrée à Azure Key Vault.