방화벽 뒤에 있는 Azure Key Vault 액세스
키 자격 증명 모음에 액세스하기 위해 방화벽으로 보호된 내 키 자격 증명 모음 클라이언트 애플리케이션을 사용하려면 어떤 포트, 호스트 또는 IP 주소를 열어야 하나요?
주요 자격 증명 모음에 액세스하려면 주요 자격 증명 모음 클라이언트 애플리케이션은 다양한 기능에 대한 여러 엔드포인트에 액세스해야 합니다.
- Microsoft Entra ID를 통한 인증
- Azure Key Vault의 관리. Azure Resource Manager를 통한 액세스 정책 만들기, 읽기, 업데이트, 삭제 및 설정을 포함합니다.
- Key Vault 자체에 저장된 개체(키와 비밀)를 액세스하고 관리하는 작업은 Key Vault 특정 엔드포인트를 통과합니다(예:
https://yourvaultname.vault.azure.net).
구성 및 환경에 따라 일부의 변형이 있습니다.
Ports
모든 3가지 함수(인증, 관리 및 데이터 평면 액세스)의 주요 자격 증명 모음에 대한 모든 트래픽은 HTTPS: 포트 443을 통해 이동합니다. 그러나 CRL의 경우 가끔 HTTP(포트 80) 트래픽이 있습니다. OCSP를 지원하는 클라이언트는 CRL에 도달하지 않아야 하지만 경우에 따라 여기에 나열된 CRL 엔드포인트에 도달할 수 있습니다.
인증
키 자격 증명 모음 클라이언트 애플리케이션은 인증을 위해 Microsoft Entra 엔드포인트에 액세스해야 합니다. 사용되는 엔드포인트는 Microsoft Entra 테넌트 구성, 주체 형식(사용자 계정 또는 서비스 주체), 계정 형식(예: Microsoft 계정 또는 회사나 학교 계정)에 따라 달라집니다.
| 주체 유형 | 엔드포인트:포트 |
|---|---|
| Microsoft 계정을 사용하는 사용자 (예: user@hotmail.com) |
전역: login.microsoftonline.com:443 21Vianet에서 운영하는 Microsoft Azure: login.chinacloudapi.cn:443 Azure 미국 정부: login.microsoftonline.us:443 Azure 독일: login.microsoftonline.de:443 및 login.live.com:443 |
| Microsoft Entra ID로 회사 또는 학교 계정을 사용하는 사용자 또는 서비스 주체(예: user@contoso.com) | 전역: login.microsoftonline.com:443 21Vianet에서 운영하는 Microsoft Azure: login.chinacloudapi.cn:443 Azure 미국 정부: login.microsoftonline.us:443 Azure 독일: login.microsoftonline.de:443 |
| 회사 또는 학교 계정을 사용하는 사용자 또는 서비스 주체 및 AD FS(Active Directory Federation Services) 또는 다른 페더레이션된 엔드포인트(예: user@contoso.com) | 회사 또는 학교 계정에 대한 모든 엔드포인트 및 AD FS 또는 다른 페더레이션된 엔드포인트 |
다른 복잡한 시나리오도 가능합니다. 추가 정보는 Microsoft Entra 인증 흐름, Microsoft Entra ID와 애플리케이션 통합, Active Directory 인증 프로토콜을 참조하세요.
Key Vault 관리
Key Vault 관리(CRUD 및 액세스 정책 설정)의 경우 주요 자격 증명 모음 클라이언트 애플리케이션은 Azure Resource Manager 엔드포인트에 액세스해야 합니다.
| 연산 유형 | 엔드포인트:포트 |
|---|---|
| Key Vault 제어 평면 작업 - Azure Resource Manager 사용 |
전역: management.azure.com:443 21Vianet에서 운영하는 Microsoft Azure: management.chinacloudapi.cn:443 Azure 미국 정부: management.usgovcloudapi.net:443 Azure 독일: management.microsoftazure.de:443 |
| Microsoft Graph API | 전역: graph.microsoft.com:443 21Vianet에서 운영하는 Microsoft Azure: graph.chinacloudapi.cn:443 Azure 미국 정부: graph.microsoft.com:443 Azure 독일: graph.cloudapi.de:443 |
Key Vault 작업
모든 주요 자격 증명 모음 개체(키와 암호) 관리 및 암호화 작업의 경우 주요 자격 증명 모음 클라이언트는 주요 자격 증명 모음 엔드포인트에 액세스해야 합니다. 엔드포인트 DNS 접미사는 주요 자격 증명 모음의 위치에 따라 다릅니다. 주요 자격 증명 모음 엔드포인트는 다음 테이블에 설명된 대로 vault-name.region-specific-dns-suffix 형식입니다.
| 연산 유형 | 엔드포인트:포트 |
|---|---|
| 키에 대한 암호화 작업을 포함하는 작업, 키 및 암호 만들기, 읽기, 업데이트 및 삭제, 키 자격 증명 모음 개체(키 또는 암호)의 태그 및 기타 특성 설정 또는 가져오기 | 전역: <vault-name>.vault.azure.net:443 21Vianet에서 운영하는 Microsoft Azure: <vault-name>.vault.azure.cn:443 Azure 미국 정부: <vault-name>.vault.usgovcloudapi.net:443 Azure 독일: <vault-name>.vault.microsoftazure.de:443 |
IP 주소 범위
Key Vault 서비스는 PaaS 인프라와 같은 다른 Azure 리소스를 사용합니다. 따라서 Key Vault 서비스 엔드포인트는 특정 시간에 가지므로 특정 범위의 IP 주소를 제공할 수 없습니다. 방화벽이 IP 주소 범위만을 지원하는 경우 다음에서 사용할 수 있는 Microsoft Azure 데이터 센터 IP 범위 문서를 참조하세요.
인증 및 ID(Microsoft Entra ID)는 글로벌 서비스이며 다른 지역으로 장애 조치(failover)하거나 고지 없이 트래픽을 이동할 수 있습니다. 이 시나리오에서는 인증 및 ID IP 주소에 나열된 모든 IP 범위를 방화벽에 추가해야 합니다.
다음 단계
Key Vault에 대한 질문이 있으면 Azure Key Vault에 대한 Microsoft Q&A 질문 페이지를 방문하세요.