Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Quels ports, hôtes ou adresses IP dois-je ouvrir pour activer mon application cliente key vault derrière un pare-feu pour accéder au coffre de clés ?
Pour accéder à un coffre de clés, votre application cliente key vault doit accéder à plusieurs points de terminaison pour différentes fonctionnalités :
- Authentification via l’ID Microsoft Entra.
- Gestion d’Azure Key Vault. Cela inclut la création, la lecture, la mise à jour, la suppression et la définition de stratégies d’accès via Azure Resource Manager.
- Accès et gestion d’objets (clés et secrets) stockés dans Key Vault lui-même, en passant par le point de terminaison spécifique à Key Vault (par exemple).
https://yourvaultname.vault.azure.net
Selon votre configuration et votre environnement, il existe certaines variantes.
Ports maritimes
Tout le trafic vers un coffre de clés pour les trois fonctions (authentification, gestion et accès au plan de données) passe par HTTPS : port 443. Cependant, il faut compter occasionnellement sur un trafic HTTP (port 80) pour les listes de révocation de certificats (CRL). Les clients qui prennent en charge le protocole OCSP ne doivent pas accéder à la liste de révocation de certificats, mais peuvent occasionnellement accéder aux points de terminaison de liste de révocation de certificats listés ici.
Authentification
Les applications clientes Key Vault devront accéder aux points de terminaison Microsoft Entra pour l’authentification. Le point de terminaison utilisé dépend de la configuration du locataire Microsoft Entra, du type de principal (principal d’utilisateur ou principal de service) et du type de compte, par exemple, un compte Microsoft ou un compte professionnel ou scolaire.
| Type principal | Point de terminaison :port |
|---|---|
| Utilisateur utilisant un compte Microsoft (Par exemple, user@hotmail.com) |
login.live.com:443 Global: login.microsoftonline.com:443 Microsoft Azure géré par 21Vianet : login.chinacloudapi.cn:443 Azure US Government : login.microsoftonline.us:443 |
| Utilisateur ou principal de service utilisant un compte professionnel ou scolaire avec Microsoft Entra ID (par exemple, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure géré par 21Vianet : login.chinacloudapi.cn:443 Azure US Government : login.microsoftonline.us:443 |
| Utilisateur ou entité de service utilisant un compte professionnel ou scolaire, ainsi que les services de fédération Active Directory (AD FS) ou un autre point de terminaison fédéré (par exemple, user@contoso.com) | Tous les points de terminaison d’un compte professionnel ou scolaire, ainsi que des points de terminaison AD FS ou d’autres points de terminaison fédérés |
Il existe d’autres scénarios complexes possibles. Pour plus d’informations, reportez-vous au flux d’authentification Microsoft Entra, à l’intégration d’applications avec l’ID Microsoft Entra et aux protocoles d’authentification Active Directory .
Gestion de Key Vault
Pour la gestion de Key Vault (CRUD et définition de la stratégie d’accès), l’application cliente key vault doit accéder à un point de terminaison Azure Resource Manager.
| Type d’opération | Point de terminaison :port |
|---|---|
| Opérations du plan de contrôle Key Vault par Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure géré par 21Vianet : management.chinacloudapi.cn:443 Azure US Government : management.usgovcloudapi.net:443 |
| Microsoft Graph API | Global: graph.microsoft.com:443 Microsoft Azure géré par 21Vianet : graph.chinacloudapi.cn:443 Azure US Government : graph.microsoft.com:443 |
Opérations de Key Vault
Pour toutes les opérations de gestion et de chiffrement des objets de coffre de clés (clés et secrets), le client du coffre de clés doit accéder au point de terminaison du coffre de clés. Le suffixe DNS du point de terminaison varie en fonction de l’emplacement de votre coffre de clés. Le point de terminaison du coffre de clés est au format nom du coffre.suffixe-dns-spécifique-à-la-région, comme indiqué dans le tableau ci-dessous.
| Type d’opération | Point de terminaison :port |
|---|---|
| Opérations incluant des opérations de chiffrement sur des clés ; création, lecture, mise à jour et suppression de clés et de secrets ; définition ou obtention d’étiquettes et d’autres attributs sur des objets key vault (clés ou secrets) | Global: <nom du coffre>.vault.azure.net:443 Microsoft Azure géré par 21Vianet : <nom du coffre>.vault.azure.cn:443 Azure US Government : <nom du coffre>.vault.usgovcloudapi.net:443 |
Plages d'adresses IP
Le service Key Vault utilise d’autres ressources Azure telles que l’infrastructure PaaS. Il n’est donc pas possible de fournir une plage spécifique d’adresses IP que les points de terminaison de service Key Vault auront à tout moment. Si votre pare-feu prend en charge uniquement les plages d’adresses IP, reportez-vous aux documents microsoft Azure Datacenter IP Ranges disponibles à l’adresse suivante :
L’authentification et l’identité (MICROSOFT Entra ID) est un service global et peut basculer vers d’autres régions ou déplacer le trafic sans préavis. Dans ce scénario, toutes les plages d’adresses IP répertoriées dans Les adresses IP d’authentification et d’identité doivent être ajoutées au pare-feu.
Étapes suivantes
Si vous avez des questions sur Key Vault, consultez la page de questions Microsoft Q&A pour Azure Key Vault.