Acessar o Cofre de Chaves do Azure por trás de um firewall
Quais portas, hosts ou endereços IP devo abrir para permitir que meu aplicativo cliente do cofre de chaves por trás de um firewall acesse o Key Vault?
Para acessar um cofre de chaves, o aplicativo de cliente do cofre de chaves precisa acessar vários pontos de extremidade para várias funcionalidades:
- Autenticação por meio do Microsoft Entra ID.
- Gerenciamento do Cofre de Chaves do Azure. Isso inclui criar, ler, atualizar, excluir e definir políticas de acesso por meio do Azure Resource Manager.
- O acesso e o gerenciamento de objetos (chaves e segredos) armazenados no Key Vault em si passa pelo ponto de extremidade específico do Key Vault (por exemplo,
https://yourvaultname.vault.azure.net).
Dependendo do ambiente e configuração, há algumas variações.
Portas
Todo o tráfego para o cofre de chaves de todas as três funções (autenticação, gerenciamento e acesso ao plano de dados) passa por HTTPS: porta 443. No entanto, ocasionalmente, haverá tráfego HTTP (porta 80) para CRL. Os clientes que dão suporte ao OCSP não devem acessar a CRL, mas podem ocasionalmente alcançar pontos de extremidade de CRL listados aqui.
Autenticação
Os aplicativos do cliente do cofre de chaves precisarão acessar os pontos de extremidade do Microsoft Entra para autenticação. O ponto de extremidade usado depende da configuração de locatário do Microsoft Entra, o tipo de entidade (UPN ou entidade de serviço) e o tipo de conta (por exemplo, uma conta da Microsoft ou uma conta corporativa ou de estudante).
| Tipo de entidade | Ponto de extremidade:porta |
|---|---|
| Usuário usando a conta da Microsoft (por exemplo, user@hotmail.com) |
Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure Governo dos EUA: login.microsoftonline.us:443 Azure Alemanha: login.microsoftonline.de:443 e login.live.com:443 |
| Usuário ou entidade de serviço que usa uma conta corporativa ou de estudante com o Microsoft Entra ID (por exemplo, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure Governo dos EUA: login.microsoftonline.us:443 Azure Alemanha: login.microsoftonline.de:443 |
| Usuário ou entidade de serviço que usa uma conta corporativa ou de estudante, além de AD FS (Serviços de Federação do Active Directory) ou outro ponto de extremidade federado (por exemplo, user@contoso.com) | Todos os pontos de extremidade de uma conta corporativa ou de estudante, além do AD FS ou outros pontos de extremidade federados |
Há outros cenários complexos possíveis. Consulte o Fluxo de Autenticação do Microsoft Entra, a Integração de Aplicativos com o Microsoft Entra ID e os Protocolos de Autenticação do Active Directory para obter informações adicionais.
Gerenciamento do Cofre de Chaves
Para o gerenciamento do Cofre de Chaves (CRUD e configuração de política de acesso), o aplicativo cliente do cofre de chaves precisa acessar um ponto de extremidade do Azure Resource Manager.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações do plano de controle do cofre de chaves por meio do Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado pela 21Vianet: management.chinacloudapi.cn:443 Azure Governo dos EUA: management.usgovcloudapi.net:443 Azure Alemanha: management.microsoftazure.de:443 |
| API do Microsoft Graph | Global: graph.microsoft.com:443 Microsoft Azure operado pela 21Vianet: graph.chinacloudapi.cn:443 Azure Governo dos EUA: graph.microsoft.com:443 Azure Alemanha: graph.cloudapi.de:443 |
Operações do cofre de chaves
Para todas as operações de criptografia e gerenciamento de objetos (chaves e segredos) do cofre de chaves, o cliente do cofre de chaves precisa acessar o ponto de extremidade do cofre de chaves. O sufixo DNS do ponto de extremidade varia de acordo com o local de seu cofre de chaves. O ponto de extremidade do Cofre de Chaves está no formato: nome-do-cofre.sufixo-dns-específico-da-região, conforme descrito na tabela a seguir.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações, incluindo operações criptográficas em chaves; criar, ler, atualizar e excluir chaves e segredos; definir ou obter marcas e outros atributos em objetos de cofre de chaves (chaves ou segredos) | Global: <vault-name>.vault.azure.net:443 Microsoft Azure operado pela 21Vianet: <vault-name>.vault.azure.cn:443 Azure Governo dos EUA: <vault-name>.vault.usgovcloudapi.net:443 Azure Alemanha: <vault-name>.vault.microsoftazure.de:443 |
Intervalos de endereços IP
O serviço de Cofre de Chaves usa outros recursos do Azure, como infraestrutura PaaS. Portanto, não é possível fornecer um intervalo específico de endereços IP que pontos de extremidade do serviço de Cofre de Chaves terão em determinado momento. Se o firewall oferecer suporte somente a intervalos de endereços IP, confira os documentos sobre os Intervalos de IPs do Microsoft Azure Datacenter disponíveis em:
Autenticação e identidade (Microsoft Entra ID) é um serviço global e pode fazer failover para outras regiões ou mover o tráfego sem aviso prévio. Nesse cenário, todos os intervalos IP listados em Endereços IP de autenticação e identidade devem ser adicionados ao firewall.
Próximas etapas
Se você tiver dúvidas sobre o Key Vault, visite a Página de P e R da Microsoft para o Azure Key Vault.