Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quais portas, hosts ou endereços IP devo abrir para habilitar meu aplicativo cliente do cofre de chaves por trás de um firewall para acessar o cofre de chaves?
Para acessar um cofre de chaves, o aplicativo do cliente do cofre de chaves precisa acessar vários endpoints para várias funcionalidades.
- Autenticação por meio da ID do Microsoft Entra.
- Gerenciamento do Azure Key Vault. Isso inclui criar, ler, atualizar, excluir e definir políticas de acesso por meio do Azure Resource Manager.
- O acesso e o gerenciamento de objetos (chaves e segredos) armazenados no Key Vault em si passa pelo ponto de extremidade específico do Key Vault (por exemplo,
https://yourvaultname.vault.azure.net).
Dependendo da configuração e do ambiente, há algumas variações.
Portas
Todo o tráfego para um cofre de chaves para todas as três funções (autenticação, gerenciamento e acesso ao plano de dados) passa por HTTPS: porta 443. No entanto, ocasionalmente haverá tráfego HTTP (porta 80) para CRL. Os clientes que dão suporte ao OCSP não devem acessar a CRL, mas podem ocasionalmente acessar endpoints de CRL listados aqui.
Autenticação
Os aplicativos clientes do cofre de chaves precisarão acessar os endpoints do Microsoft Entra para autenticação. O ponto de extremidade usado depende da configuração de locatário do Microsoft Entra, o tipo de entidade (UPN ou entidade de serviço) e o tipo de conta (por exemplo, uma conta da Microsoft ou uma conta corporativa ou de estudante).
| Tipo principal | Ponto de extremidade:porta |
|---|---|
| Usuário usando conta da Microsoft (por exemplo, user@hotmail.com) |
login.live.com:443 Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure Governo dos EUA: login.microsoftonline.us:443 |
| Usuário ou principal de serviço usando uma conta corporativa ou de estudante com a ID do Microsoft Entra (por exemplo, user@contoso.com) | Global: login.microsoftonline.com:443 Microsoft Azure operado pela 21Vianet: login.chinacloudapi.cn:443 Azure Governo dos EUA: login.microsoftonline.us:443 |
| Usuário ou entidade de serviço que usa uma conta corporativa ou de estudante, além de AD FS (Serviços de Federação do Active Directory) ou outro ponto de extremidade federado (por exemplo, user@contoso.com) | Todos os endpoints de uma conta corporativa ou acadêmica, além do AD FS ou outros endpoints federados |
Há outros cenários complexos possíveis. Consulte o Fluxo de Autenticação do Microsoft Entra, a integração de aplicativos com a ID do Microsoft Entra e os Protocolos de Autenticação do Active Directory para obter informações adicionais.
Gerenciamento do Key Vault
Para o gerenciamento do Key Vault (CRUD e configuração de política de acesso), o aplicativo cliente do cofre de chaves precisa acessar um ponto de extremidade do Azure Resource Manager.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações do plano de controle do cofre do Key Vault por meio do Azure Resource Manager |
Global: management.azure.com:443 Microsoft Azure operado pela 21Vianet: management.chinacloudapi.cn:443 Azure Governo dos EUA: management.usgovcloudapi.net:443 |
| Microsoft Graph API | Global: graph.microsoft.com:443 Microsoft Azure operado pela 21Vianet: graph.chinacloudapi.cn:443 Azure Governo dos EUA: graph.microsoft.com:443 |
Operações do Key Vault
Para todo o gerenciamento dos objetos do cofre de chaves (chaves e segredos) e operações criptográficas, o cliente do cofre de chaves precisa acessar o endpoint do cofre de chaves. O sufixo DNS do ponto de extremidade varia de acordo com o local de seu cofre de chaves. O ponto de extremidade do cofre de chaves está no formato: nome-do-cofre.sufixo-dns-específico-da-região, conforme descrito na tabela a seguir.
| Tipo de operação | Ponto de extremidade:porta |
|---|---|
| Operações, incluindo operações criptográficas em chaves; criação, leitura, atualização e exclusão de chaves e segredos; definir ou obter etiquetas e outros atributos em objetos do repositório de chaves (chaves ou segredos) | Global: <nome do cofre>.vault.azure.net:443 Microsoft Azure operado pela 21Vianet: <nome do cofre>.vault.azure.cn:443 Azure Governo dos EUA: <nome do cofre>.vault.usgovcloudapi.net:443 |
Intervalos de endereços IP
O serviço do Key Vault usa outros recursos do Azure, como a infraestrutura de PaaS. Portanto, não é possível fornecer um intervalo específico de endereços IP que pontos de extremidade do serviço Key Vault terão em determinado momento. Se o firewall der suporte apenas a intervalos de endereços IP, consulte os documentos de intervalos de IP do Datacenter do Microsoft Azure disponíveis em:
A Autenticação e Identidade (Microsoft Entra ID) é um serviço global e pode fazer failover para outras regiões ou mover o tráfego sem aviso prévio. Nesse cenário, todos os intervalos de IP listados em Endereços IP de Autenticação e Identidade devem ser adicionados ao firewall.
Próximas etapas
Se você tiver dúvidas sobre o Key Vault, visite a página de perguntas do Microsoft Q&A para o Azure Key Vault.