Udostępnij za pośrednictwem


Uzyskiwanie dostępu do usługi Azure Key Vault za zaporą

Jakie porty, hosty lub adresy IP należy otworzyć, aby umożliwić aplikacji klienckiej magazynu kluczy za zaporą dostęp do magazynu kluczy?

Aby uzyskać dostęp do magazynu kluczy, aplikacja kliencka magazynu kluczy musi uzyskać dostęp do wielu punktów końcowych dla różnych funkcji:

  • Uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft.
  • Zarządzanie usługą Azure Key Vault. Obejmuje to tworzenie, odczytywanie, aktualizowanie, usuwanie oraz ustawianie zasad dostępu za pośrednictwem usługi Azure Resource Manager.
  • Uzyskiwanie dostępu do obiektów (kluczy i wpisów tajnych) przechowywanych w usłudze Key Vault i zarządzanie tymi obiektami, przechodząc przez punkt końcowy specyficzny dla usługi Key Vault (na przykład https://yourvaultname.vault.azure.net).

W zależności od konfiguracji i środowiska istnieją pewne odstępstwa.

Porty

Cały ruch do magazynu kluczy dla wszystkich trzech funkcji (uwierzytelnianie, zarządzanie i dostęp do warstwy danych) odbywa się przez protokół HTTPS: port 443. Jednak w przypadku listy CRL może czasami wystąpić ruch za pośrednictwem protokołu HTTP (port 80). Klienci, którzy obsługują dostawcę OCSP, nie powinni docierać do listy CRL, ale mogą czasami docierać do punktów końcowych listy CRL wymienionych tutaj.

Uwierzytelnianie

Aplikacje klienckie usługi Key Vault muszą uzyskiwać dostęp do punktów końcowych usługi Microsoft Entra na potrzeby uwierzytelniania. Używany punkt końcowy zależy od konfiguracji dzierżawy firmy Microsoft, typu jednostki użytkownika (jednostki użytkownika lub jednostki usługi) oraz typu konta — na przykład konta Microsoft lub konta służbowego.

Typ nazwy głównej Punkt końcowy:port
Użytkownik korzystający z konta Microsoft
(na przykład user@hotmail.com)
Cały świat:
login.microsoftonline.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
login.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
login.microsoftonline.us:443

Niemiecka wersja platformy Azure:
login.microsoftonline.de:443

i
login.live.com:443
Użytkownik lub jednostka usługi przy użyciu konta służbowego z identyfikatorem Microsoft Entra (na przykład user@contoso.com) Cały świat:
login.microsoftonline.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
login.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
login.microsoftonline.us:443

Niemiecka wersja platformy Azure:
login.microsoftonline.de:443
Nazwa główna użytkownika lub jednostka usługi przy użyciu konta służbowego i punkt końcowy usług Active Directory Federation Services (AD FS) lub inny federacyjny punkt końcowy (na przykład user@contoso.com) Wszystkie punkty końcowe dla konta służbowego oraz punkty końcowe usług AD FS lub inne federacyjne punkty końcowe

Istnieją inne możliwe złożone scenariusze. Aby uzyskać dodatkowe informacje, zapoznaj się z tematem Microsoft Entra authentication Flow ( Przepływ uwierzytelniania firmy Microsoft), Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i protokołami uwierzytelniania usługi Active Directory.

Zarządzanie usługą Key Vault

Aby zarządzać usługą Key Vault (akcje CRUD i ustawianie zasad dostępu), aplikacja kliencka magazynu kluczy musi uzyskać dostęp do punktu końcowego usługi Azure Resource Manager.

Typ operacji Punkt końcowy:port
Operacje warstwy kontroli usługi Key Vault
za pośrednictwem usługi Azure Resource Manager
Cały świat:
management.azure.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
management.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
management.usgovcloudapi.net:443

Niemiecka wersja platformy Azure:
management.microsoftazure.de:443
Interfejsu API programu Microsoft Graph Cały świat:
graph.microsoft.com:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
graph.chinacloudapi.cn:443

Wersja platformy Azure dla administracji USA:
graph.microsoft.com:443

Niemiecka wersja platformy Azure:
graph.cloudapi.de:443

Operacje usługi Key Vault

We wszystkich przypadkach operacji kryptograficznych na obiektach (kluczach i wpisach tajnych) oraz zarządzania tymi obiektami klient magazynu kluczy musi uzyskać dostęp do punktu końcowego magazynu kluczy. Sufiks DNS punktu końcowego różni się w zależności od lokalizacji magazynu kluczy. Format punktu końcowego magazynu kluczy wygląda następująco: nazwa magazynu.specyficzny dla regionu sufiks systemu DNS zgodnie z opisem w poniższej tabeli.

Typ operacji Punkt końcowy:port
Operacje, takie jak operacje kryptograficzne na kluczach, tworzenie, odczytywanie, aktualizowanie i usuwanie kluczy oraz wpisów tajnych, ustawianie lub pobieranie tagów i innych atrybutów obiektów magazynu kluczy (klucze lub wpisy tajne) Cały świat:
<nazwa_magazynu>.vault.azure.net:443

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
<nazwa_magazynu>.vault.azure.cn:443

Wersja platformy Azure dla administracji USA:
<nazwa_magazynu>.vault.usgovcloudapi.net:443

Niemiecka wersja platformy Azure:
<nazwa_magazynu>.vault.microsoftazure.de:443

Zakresy adresów IP

Usługa Key Vault używa innych zasobów platformy Azure, takich jak infrastruktura PaaS. W związku z tym nie jest możliwe podanie konkretnego zakresu adresów IP, których będą używać punkty końcowe usługi Key Vault w określonym czasie. Jeśli zapora obsługuje tylko zakresy adresów IP, zapoznaj się z dokumentami zakresów adresów IP centrum danych platformy Microsoft Azure dostępnymi pod adresem:

Uwierzytelnianie i tożsamość (Microsoft Entra ID) to usługa globalna i może przechodzić w tryb failover do innych regionów lub przenosić ruch bez powiadomienia. W tym scenariuszu wszystkie zakresy IP znajdujące się na liście Adresy IP usługi Authentication and Identity należy dodać do zapory.

Następne kroki

Jeśli masz pytania dotyczące usługi Key Vault, odwiedź stronę pytań i odpowiedzi firmy Microsoft dotyczącą usługi Azure Key Vault.