Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jakie porty, hosty lub adresy IP należy otworzyć, aby umożliwić aplikacji klienckiej magazynu kluczy za zaporą dostęp do magazynu kluczy?
Aby uzyskać dostęp do magazynu kluczy, aplikacja kliencka magazynu kluczy musi uzyskać dostęp do wielu punktów końcowych dla różnych funkcji:
- Uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft.
- Zarządzanie usługą Azure Key Vault. Obejmuje to tworzenie, odczytywanie, aktualizowanie, usuwanie i ustawianie zasad dostępu za pomocą usługi Azure Resource Manager.
- Uzyskiwanie dostępu do obiektów (kluczy i sekretów) przechowywanych w usłudze Key Vault oraz zarządzanie nimi poprzez punkt końcowy specyficzny dla usługi Key Vault (na przykład
https://yourvaultname.vault.azure.net).
W zależności od konfiguracji i środowiska istnieją pewne odmiany.
Porty sieciowe
Cały ruch do magazynu kluczy dla wszystkich trzech funkcji (uwierzytelnianie, zarządzanie i dostęp do płaszczyzny danych) odbywa się przez HTTPS na porcie 443. Jednak czasami będzie występować ruch HTTP (port 80) dla listy CRL. Klienci, którzy obsługują OCSP, nie powinni korzystać z CRL, ale mogą czasami uzyskiwać dostęp do punktów końcowych CRL wymienionych tutaj.
Uwierzytelnianie
Aplikacje klienckie usługi Key Vault muszą uzyskiwać dostęp do punktów końcowych usługi Microsoft Entra na potrzeby uwierzytelniania. Używany punkt końcowy zależy od konfiguracji dzierżawy Microsoft Entra, typu jednostki (użytkownik lub usługa) i typu konta, na przykład konta Microsoft lub konta służbowego lub szkolnego.
| Główny typ | Punkt końcowy:port |
|---|---|
| Użytkownik korzystający z konta Microsoft (na przykład user@hotmail.com) |
login.live.com:443 Cały świat: login.microsoftonline.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: login.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: login.microsoftonline.us:443 |
| Użytkownik lub jednostka usługi przy użyciu konta służbowego lub szkolnego z Microsoft Entra ID (na przykład user@contoso.com) |
Cały świat: login.microsoftonline.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: login.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: login.microsoftonline.us:443 |
| Użytkownik lub jednostka usługi używający konta służbowego wraz z usługą Active Directory Federation Services (AD FS) lub innym federacyjnym punktem końcowym (na przykład user@contoso.com). | Wszystkie punkty końcowe dla konta służbowego oraz usługi AD FS lub innych federacyjnych punktów końcowych |
Istnieją inne możliwe złożone scenariusze. Aby uzyskać dodatkowe informacje, zapoznaj się z tematem Microsoft Entra authentication Flow ( Przepływ uwierzytelniania firmy Microsoft), Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i protokołami uwierzytelniania usługi Active Directory .
Zarządzanie usługą Key Vault
W przypadku zarządzania usługą Key Vault (CRUD i ustawiania zasad dostępu) aplikacja kliencka magazynu kluczy musi uzyskać dostęp do punktu końcowego usługi Azure Resource Manager.
| Typ operacji | Punkt końcowy:port |
|---|---|
| Operacje płaszczyzny sterowania usługi Key Vault za pośrednictwem usługi Azure Resource Manager |
Cały świat: management.azure.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: management.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: management.usgovcloudapi.net:443 |
| Microsoft Graph API |
Cały świat: graph.microsoft.com:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: graph.chinacloudapi.cn:443 Wersja platformy Azure dla administracji USA: graph.microsoft.com:443 |
Operacje usługi Key Vault
W przypadku wszystkich operacji zarządzania obiektami magazynu kluczy (kluczy i sekretów) oraz operacji kryptograficznych, klient magazynu kluczy musi uzyskać dostęp do punktu końcowego magazynu kluczy. Sufiks DNS punktu końcowego różni się w zależności od lokalizacji magazynu kluczy. Punkt końcowy magazynu kluczy ma format nazwa-magazynu.sufiks DNS specyficzny dla regionu, zgodnie z opisem w poniższej tabeli.
| Typ operacji | Punkt końcowy:port |
|---|---|
| Operacje, w tym operacje kryptograficzne na kluczach; tworzenie, odczytywanie, aktualizowanie i usuwanie kluczy i wpisów tajnych; ustawianie lub pobieranie tagów i innych atrybutów obiektów magazynu kluczy (kluczy lub wpisów tajnych) |
Cały świat: <nazwa_magazynu>.vault.azure.net:443 Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: <nazwa-magazynu.vault.azure.cn:443> Wersja platformy Azure dla administracji USA: <vault-name.vault.usgovcloudapi.net:443> |
Zakresy adresów IP
Usługa Key Vault używa innych zasobów platformy Azure, takich jak infrastruktura PaaS. Nie można więc podać określonego zakresu adresów IP, które będą miały punkty końcowe usługi Key Vault w danym momencie. Jeśli zapora obsługuje tylko zakresy adresów IP, zapoznaj się z dokumentami zakresów adresów IP centrum danych platformy Microsoft Azure dostępnymi pod adresem:
Uwierzytelnianie i tożsamość (Microsoft Entra ID) to usługa globalna i może przełączać się do innych regionów lub przenosić ruch sieciowy bez powiadomienia. W tym scenariuszu wszystkie zakresy adresów IP wymienione w temacie Uwierzytelnianie i adresy IP tożsamości powinny zostać dodane do zapory.
Dalsze kroki
Jeśli masz pytania dotyczące usługi Key Vault, odwiedź stronę pytań i odpowiedzi firmy Microsoft dotyczącą usługi Azure Key Vault.