Bagikan melalui


Mengakses Azure Key Vault di balik firewall

Port, host, atau alamat IP apa yang harus saya buka untuk mengaktifkan aplikasi klien brankas kunci di belakang firewall untuk mengakses brankas kunci?

Untuk mengakses sebuah brankas kunci, aplikasi klien brankas kunci anda harus mengakses berbagai titik akhir untuk berbagai fungsi.

  • Autentikasi melalui ID Microsoft Entra.
  • Manajemen Azure Key Vault. Ini termasuk membuat, membaca, memperbarui, menghapus, dan menetapkan kebijakan akses melalui Azure Resource Manager.
  • Mengakses dan mengelola objek (kunci dan rahasia) yang disimpan di Key Vault itu sendiri, melalui titik akhir khusus Key Vault (misalnya, https://yourvaultname.vault.azure.net).

Bergantung pada konfigurasi dan lingkungan Anda, ada beberapa variasi.

Port

Semua lalu lintas ke brankas kunci untuk ketiga fungsi (autentikasi, manajemen, dan akses pesawat data) melewati HTTPS: port 443. Namun, sesekali akan ada lalu lintas HTTP (port 80) untuk CRL. Klien yang mendukung OCSP tidak boleh mencapai CRL, tetapi terkadang dapat mencapai titik akhir CRL yang tercantum di sini.

Autentikasi

Aplikasi klien brankas kunci harus mengakses titik akhir Microsoft Entra untuk autentikasi. Titik akhir yang digunakan tergantung pada konfigurasi penyewa Microsoft Entra, jenis prinsipal (prinsipal pengguna atau perwakilan layanan), dan jenis akun--misalnya, akun Microsoft atau akun kerja atau sekolah.

Jenis perwakilan Titik akhir:port
Pengguna menggunakan akun Microsoft
(Contohnya, user@hotmail.com)
Global:
login.microsoftonline.com:443

Microsoft Azure dioperasikan oleh 21Vianet:
login.chinacloudapi.cn:443

Azure US Government
login.microsoftonline.us:443

Azure Jerman:
login.microsoftonline.us:443

dan
login.live.com:443
Pengguna atau perwakilan layanan menggunakan akun kerja atau sekolah dengan ID Microsoft Entra (misalnya, user@contoso.com) Global:
login.microsoftonline.com:443

Microsoft Azure dioperasikan oleh 21Vianet:
login.chinacloudapi.cn:443

Azure US Government
login.microsoftonline.us:443

Azure Jerman:
login.microsoftonline.us:443
Kepala pengguna atau layanan menggunakan akun kantor atau sekolah, ditambah Layanan Federasi Direktori Aktif atau titik akhir federasi lainnya (misalnya, user@contoso.com) Semua titik akhir untuk akun kantor atau sekolah, ditambah Layanan Federasi Direktori Aktif AD FS atau titik akhir federasi lainnya

Ada skenario kompleks lainnya. Lihat Alur autentikasi Microsoft Entra, Mengintegrasikan Aplikasi dengan ID Microsoft Entra, dan Protokol Autentikasi Direktori Aktif untuk informasi tambahan.

Manajemen Key Vault

Untuk manajemen Key Vault (CRUD dan kebijakan akses pengaturan), aplikasi klien brankas kunci perlu mengakses titik akhir Azure Resource Manager.

Jenis operasi Titik akhir:port
Operasi bidang kontrol Key Vault
Melalui Azure Resource Manager
Global:
management.azure.com:443

Microsoft Azure dioperasikan oleh 21Vianet:
management.chinacloudapi.cn:443

Azure US Government
management.usgovcloudapi.net:443

Azure Jerman:
management.microsoftazure.de:443
API Microsoft Graph Global:
graph.microsoft.com:443

Microsoft Azure dioperasikan oleh 21Vianet:
graph.chinacloudapi.cn:443

Azure US Government
graph.microsoft.com:443

Azure Jerman:
graph.chinacloudapi.cn:443

Operasi Key Vault

Untuk semua manajemen objek brankas kunci (kunci dan rahasia) dan operasi kriptografi, klien brankas kunci perlu mengakses titik akhir brankas kunci. Titik akhir akhiran DNS bervariasi bergantung pada lokasi brankas kunci Anda. Titik akhir brankas kunci adalah format nama-brankas. region-specific-dns-suffix, seperti yang dijelaskan dalam tabel berikut ini.

Jenis operasi Titik akhir:port
Operasi termasuk operasi kriptografi pada kunci; menciptakan, membaca, memperbarui, dan menghapus kunci dan rahasia; mengatur atau mendapatkan tag dan atribut lainnya pada objek brankas kunci (kunci atau rahasia) Global:
<vault-name>.vault.azure.net:443

Microsoft Azure dioperasikan oleh 21Vianet:
<nama-vault>.vault.azure.net:443

Azure US Government
<nama-vault>.vault.usgovcloudapi.net:443

Azure Jerman:
<nama-brankas>.vault.microsoftazure.de:443

Rentang alamat IP

Layanan Key Vault menggunakan sumber daya Azure lainnya seperti infrastruktur PaaS. Jadi tidak mungkin untuk memberikan berbagai alamat IP tertentu yang akan dimiliki oleh titik akhir layanan Key Vault pada waktu tertentu. Jika firewall Anda hanya mendukung rentang alamat IP, lihat dokumen Rentang IP Microsoft Azure Datacenter yang tersedia di:

Autentikasi dan Identitas (ID Microsoft Entra) adalah layanan global dan dapat gagal ke wilayah lain atau memindahkan lalu lintas tanpa pemberitahuan. Dalam skenario ini, semua rentang IP yang tercantum dalam autentikasi dan identitas alamat IP harus ditambahkan ke firewall.

Langkah berikutnya

Jika Anda memiliki pertanyaan tentang Key Vault, kunjungi halaman pertanyaan Microsoft Q&A untuk Azure Key Vault.