Mengakses Azure Key Vault di balik firewall
Port, host, atau alamat IP apa yang harus saya buka untuk mengaktifkan aplikasi klien brankas kunci di belakang firewall untuk mengakses brankas kunci?
Untuk mengakses sebuah brankas kunci, aplikasi klien brankas kunci anda harus mengakses berbagai titik akhir untuk berbagai fungsi.
- Autentikasi melalui ID Microsoft Entra.
- Manajemen Azure Key Vault. Ini termasuk membuat, membaca, memperbarui, menghapus, dan menetapkan kebijakan akses melalui Azure Resource Manager.
- Mengakses dan mengelola objek (kunci dan rahasia) yang disimpan di Key Vault itu sendiri, melalui titik akhir khusus Key Vault (misalnya,
https://yourvaultname.vault.azure.net).
Bergantung pada konfigurasi dan lingkungan Anda, ada beberapa variasi.
Port
Semua lalu lintas ke brankas kunci untuk ketiga fungsi (autentikasi, manajemen, dan akses pesawat data) melewati HTTPS: port 443. Namun, sesekali akan ada lalu lintas HTTP (port 80) untuk CRL. Klien yang mendukung OCSP tidak boleh mencapai CRL, tetapi terkadang dapat mencapai titik akhir CRL yang tercantum di sini.
Autentikasi
Aplikasi klien brankas kunci harus mengakses titik akhir Microsoft Entra untuk autentikasi. Titik akhir yang digunakan tergantung pada konfigurasi penyewa Microsoft Entra, jenis prinsipal (prinsipal pengguna atau perwakilan layanan), dan jenis akun--misalnya, akun Microsoft atau akun kerja atau sekolah.
| Jenis perwakilan | Titik akhir:port |
|---|---|
| Pengguna menggunakan akun Microsoft (Contohnya, user@hotmail.com) |
Global: login.microsoftonline.com:443 Microsoft Azure dioperasikan oleh 21Vianet: login.chinacloudapi.cn:443 Azure US Government login.microsoftonline.us:443 Azure Jerman: login.microsoftonline.us:443 Dan login.live.com:443 |
| Pengguna atau perwakilan layanan menggunakan akun kerja atau sekolah dengan ID Microsoft Entra (misalnya, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure dioperasikan oleh 21Vianet: login.chinacloudapi.cn:443 Azure US Government login.microsoftonline.us:443 Azure Jerman: login.microsoftonline.us:443 |
| Kepala pengguna atau layanan menggunakan akun kantor atau sekolah, ditambah Layanan Federasi Direktori Aktif atau titik akhir federasi lainnya (misalnya, user@contoso.com) | Semua titik akhir untuk akun kantor atau sekolah, ditambah Layanan Federasi Direktori Aktif AD FS atau titik akhir federasi lainnya |
Ada skenario kompleks lainnya. Lihat Alur autentikasi Microsoft Entra, Mengintegrasikan Aplikasi dengan ID Microsoft Entra, dan Protokol Autentikasi Direktori Aktif untuk informasi tambahan.
Manajemen Key Vault
Untuk manajemen Key Vault (CRUD dan kebijakan akses pengaturan), aplikasi klien brankas kunci perlu mengakses titik akhir Azure Resource Manager.
| Jenis operasi | Titik akhir:port |
|---|---|
| Operasi bidang kontrol Key Vault Melalui Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure dioperasikan oleh 21Vianet: management.chinacloudapi.cn:443 Azure US Government management.usgovcloudapi.net:443 Azure Jerman: management.microsoftazure.de:443 |
| API Microsoft Graph | Global: graph.microsoft.com:443 Microsoft Azure dioperasikan oleh 21Vianet: graph.chinacloudapi.cn:443 Azure US Government graph.microsoft.com:443 Azure Jerman: graph.chinacloudapi.cn:443 |
Operasi Key Vault
Untuk semua manajemen objek brankas kunci (kunci dan rahasia) dan operasi kriptografi, klien brankas kunci perlu mengakses titik akhir brankas kunci. Titik akhir akhiran DNS bervariasi bergantung pada lokasi brankas kunci Anda. Titik akhir brankas kunci adalah format nama-brankas. region-specific-dns-suffix, seperti yang dijelaskan dalam tabel berikut ini.
| Jenis operasi | Titik akhir:port |
|---|---|
| Operasi termasuk operasi kriptografi pada kunci; menciptakan, membaca, memperbarui, dan menghapus kunci dan rahasia; mengatur atau mendapatkan tag dan atribut lainnya pada objek brankas kunci (kunci atau rahasia) | Global: <vault-name>.vault.azure.net:443 Microsoft Azure dioperasikan oleh 21Vianet: <nama-vault>.vault.azure.net:443 Azure US Government <nama-vault>.vault.usgovcloudapi.net:443 Azure Jerman: <nama-brankas>.vault.microsoftazure.de:443 |
Rentang alamat IP
Layanan Key Vault menggunakan sumber daya Azure lainnya seperti infrastruktur PaaS. Jadi tidak mungkin untuk memberikan berbagai alamat IP tertentu yang akan dimiliki oleh titik akhir layanan Key Vault pada waktu tertentu. Jika firewall Anda hanya mendukung rentang alamat IP, lihat dokumen Rentang IP Microsoft Azure Datacenter yang tersedia di:
Autentikasi dan Identitas (ID Microsoft Entra) adalah layanan global dan dapat gagal ke wilayah lain atau memindahkan lalu lintas tanpa pemberitahuan. Dalam skenario ini, semua rentang IP yang tercantum dalam autentikasi dan identitas alamat IP harus ditambahkan ke firewall.
Langkah berikutnya
Jika Anda memiliki pertanyaan tentang Key Vault, kunjungi halaman pertanyaan Microsoft Q&A untuk Azure Key Vault.