Uzyskiwanie dostępu do usługi Azure Key Vault za zaporą
Jakie porty, hosty lub adresy IP należy otworzyć, aby umożliwić aplikacji klienckiej magazynu kluczy za zaporą dostęp do magazynu kluczy?
Aby uzyskać dostęp do magazynu kluczy, aplikacja kliencka magazynu kluczy musi uzyskać dostęp do wielu punktów końcowych dla różnych funkcji:
- Uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft.
- Zarządzanie usługą Azure Key Vault. Obejmuje to tworzenie, odczytywanie, aktualizowanie, usuwanie oraz ustawianie zasad dostępu za pośrednictwem usługi Azure Resource Manager.
- Uzyskiwanie dostępu do obiektów (kluczy i wpisów tajnych) przechowywanych w usłudze Key Vault i zarządzanie tymi obiektami, przechodząc przez punkt końcowy specyficzny dla usługi Key Vault (na przykład
https://yourvaultname.vault.azure.net).
W zależności od konfiguracji i środowiska istnieją pewne odstępstwa.
Porty
Cały ruch do magazynu kluczy dla wszystkich trzech funkcji (uwierzytelnianie, zarządzanie i dostęp do warstwy danych) odbywa się przez protokół HTTPS: port 443. Jednak w przypadku listy CRL może czasami wystąpić ruch za pośrednictwem protokołu HTTP (port 80). Klienci, którzy obsługują dostawcę OCSP, nie powinni docierać do listy CRL, ale mogą czasami docierać do punktów końcowych listy CRL wymienionych tutaj.
Uwierzytelnianie
Aplikacje klienckie usługi Key Vault muszą uzyskiwać dostęp do punktów końcowych usługi Microsoft Entra na potrzeby uwierzytelniania. Używany punkt końcowy zależy od konfiguracji dzierżawy firmy Microsoft, typu jednostki użytkownika (jednostki użytkownika lub jednostki usługi) oraz typu konta — na przykład konta Microsoft lub konta służbowego.
| Typ nazwy głównej | Punkt końcowy:port |
|---|---|
| Użytkownik korzystający z konta Microsoft (na przykład user@hotmail.com) |
Cały świat: login.microsoftonline.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: login.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: login.microsoftonline.us:443 Niemiecka wersja platformy Azure: login.microsoftonline.de:443 I login.live.com:443 |
| Użytkownik lub jednostka usługi przy użyciu konta służbowego z identyfikatorem Microsoft Entra (na przykład user@contoso.com) | Cały świat: login.microsoftonline.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: login.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: login.microsoftonline.us:443 Niemiecka wersja platformy Azure: login.microsoftonline.de:443 |
| Nazwa główna użytkownika lub jednostka usługi przy użyciu konta służbowego i punkt końcowy usług Active Directory Federation Services (AD FS) lub inny federacyjny punkt końcowy (na przykład user@contoso.com) | Wszystkie punkty końcowe dla konta służbowego oraz punkty końcowe usług AD FS lub inne federacyjne punkty końcowe |
Istnieją inne możliwe złożone scenariusze. Aby uzyskać dodatkowe informacje, zapoznaj się z tematem Microsoft Entra authentication Flow ( Przepływ uwierzytelniania firmy Microsoft), Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i protokołami uwierzytelniania usługi Active Directory.
Zarządzanie usługą Key Vault
Aby zarządzać usługą Key Vault (akcje CRUD i ustawianie zasad dostępu), aplikacja kliencka magazynu kluczy musi uzyskać dostęp do punktu końcowego usługi Azure Resource Manager.
| Typ operacji | Punkt końcowy:port |
|---|---|
| Operacje warstwy kontroli usługi Key Vault za pośrednictwem usługi Azure Resource Manager |
Cały świat: management.azure.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: management.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: management.usgovcloudapi.net:443 Niemiecka wersja platformy Azure: management.microsoftazure.de:443 |
| Interfejsu API programu Microsoft Graph | Cały świat: graph.microsoft.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: graph.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: graph.microsoft.com:443 Niemiecka wersja platformy Azure: graph.cloudapi.de:443 |
Operacje usługi Key Vault
We wszystkich przypadkach operacji kryptograficznych na obiektach (kluczach i wpisach tajnych) oraz zarządzania tymi obiektami klient magazynu kluczy musi uzyskać dostęp do punktu końcowego magazynu kluczy. Sufiks DNS punktu końcowego różni się w zależności od lokalizacji magazynu kluczy. Format punktu końcowego magazynu kluczy wygląda następująco: nazwa magazynu.specyficzny dla regionu sufiks systemu DNS zgodnie z opisem w poniższej tabeli.
| Typ operacji | Punkt końcowy:port |
|---|---|
| Operacje, takie jak operacje kryptograficzne na kluczach, tworzenie, odczytywanie, aktualizowanie i usuwanie kluczy oraz wpisów tajnych, ustawianie lub pobieranie tagów i innych atrybutów obiektów magazynu kluczy (klucze lub wpisy tajne) | Cały świat: <nazwa_magazynu>.vault.azure.net:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: <nazwa_magazynu>.vault.azure.cn:443 Wersja platformy Azure dla administracji USA: <nazwa_magazynu>.vault.usgovcloudapi.net:443 Niemiecka wersja platformy Azure: <nazwa_magazynu>.vault.microsoftazure.de:443 |
Zakresy adresów IP
Usługa Key Vault używa innych zasobów platformy Azure, takich jak infrastruktura PaaS. W związku z tym nie jest możliwe podanie konkretnego zakresu adresów IP, których będą używać punkty końcowe usługi Key Vault w określonym czasie. Jeśli zapora obsługuje tylko zakresy adresów IP, zapoznaj się z dokumentami zakresów adresów IP centrum danych platformy Microsoft Azure dostępnymi pod adresem:
Uwierzytelnianie i tożsamość (Microsoft Entra ID) to usługa globalna i może przechodzić w tryb failover do innych regionów lub przenosić ruch bez powiadomienia. W tym scenariuszu wszystkie zakresy IP znajdujące się na liście Adresy IP usługi Authentication and Identity należy dodać do zapory.
Następne kroki
Jeśli masz pytania dotyczące usługi Key Vault, odwiedź stronę pytań i odpowiedzi firmy Microsoft dotyczącą usługi Azure Key Vault.