Aceder ao Cofre de Chaves do Azure protegido por firewall

Que portas, anfitriões ou endereços IP devo abrir para permitir que a minha aplicação de cliente do cofre chave atrás de uma firewall aceda ao cofre de chaves?

Para aceder a um cofre de chaves, a sua aplicação cliente do cofre de chaves tem de aceder a vários pontos finais para várias funcionalidades:

  • Autenticação através do Azure Active Directory (Azure AD).
  • Gestão do Cofre de Chaves do Azure. Isto inclui criar, ler, atualizar, eliminar e definir políticas de acesso através do Azure Resource Manager.
  • Aceder e gerir objetos (chaves e segredos) armazenados no próprio Key Vault, através do ponto final específico do Key Vault (por exemplo, https://yourvaultname.vault.azure.net).

Dependendo da configuração e do ambiente, existem algumas variações.

Portas

Todo o tráfego para um cofre de chaves para as três funções (autenticação, gestão e acesso ao plano de dados) é feito por HTTPS: porta 443. No entanto, existirá ocasionalmente tráfego HTTP (porta 80) para CRL. Os clientes que suportam o OCSP não devem alcançar o CRL, mas podem, ocasionalmente, alcançar http://cdp1.public-trust.com/CRL/Omniroot2025.crl.

Autenticação

As aplicações cliente do Cofre de Chaves terão de aceder a pontos finais do Azure Active Directory para autenticação. O ponto final utilizado depende da configuração do inquilino do Azure AD, do tipo de principal (principal de utilizador ou principal de serviço) e do tipo de conta - por exemplo, uma conta Microsoft ou uma conta escolar ou profissional.

Tipo de principal Ponto final:porta
Utilizador com conta Microsoft
(por exemplo, user@hotmail.com)
Global:
login.microsoftonline.com:443

Azure China:
login.chinacloudapi.cn:443

Governo dos EUA:
login.microsoftonline.us:443

Azure Alemanha:
login.microsoftonline.de:443

e
login.live.com:443
Principal de utilizador ou serviço com uma conta escolar ou profissional com o Azure AD (por exemplo, user@contoso.com) Global:
login.microsoftonline.com:443

Azure China:
login.chinacloudapi.cn:443

Governo dos EUA:
login.microsoftonline.us:443

Azure Alemanha:
login.microsoftonline.de:443
Principal de utilizador ou serviço com uma conta escolar ou profissional, mais Serviços de Federação do Active Directory (AD FS) ou outro ponto final federado (por exemplo, user@contoso.com) Todos os pontos finais para uma conta escolar ou profissional, mais AD FS ou outros pontos finais federados

Existem outros cenários possíveis complexos. Consulte Fluxo de Autenticação do Azure Active Directory, Integrar Aplicações com o Azure Active Directory e Protocolos de Autenticação do Active Directory para obter informações adicionais.

Gestão do Cofre de Chaves

Para a gestão do Cofre de Chaves (CRUD e definição da política de acesso), a aplicação cliente do cofre de chaves tem de aceder a um ponto final do Azure Resource Manager.

Tipo de operação Ponto final:porta
Operações do painel de controlo do Cofre de Chaves
através do Azure Resource Manager
Global:
management.azure.com:443

Azure China:
management.chinacloudapi.cn:443

Governo dos EUA:
management.usgovcloudapi.net:443

Azure Alemanha:
management.microsoftazure.de:443
Microsoft Graph API Global:
graph.microsoft.com:443

Azure China:
graph.chinacloudapi.cn:443

Governo dos EUA:
graph.microsoft.com:443

Azure Alemanha:
graph.cloudapi.de:443

Operações do Cofre de Chaves

Para todas as operações criptográficas e de gestão de objetos do cofre de chaves (chaves e segredos), o cliente do cofre de chaves precisa de aceder ao ponto final do cofre de chaves. O sufixo DNS do ponto final varia consoante a localização do seu cofre de chaves. O ponto final do cofre de chaves tem o formato vault-name.region-specific-dns-suffix, tal como descrito na tabela seguinte.

Tipo de operação Ponto final:porta
Operações, incluindo operações criptográficas em chaves; criar, ler, atualizar e eliminar chaves e segredos; definir ou obter etiquetas e outros atributos de objetos de cofre de chaves (chaves ou segredos) Global:
<vault-name>.vault.azure.net:443

Azure China:
<vault-name>.vault.azure.cn:443

Governo dos EUA:
<vault-name>.vault.usgovcloudapi.net:443

Azure Alemanha:
<vault-name>.vault.microsoftazure.de:443

Intervalos de endereços IP

O serviço Cofre de Chaves utiliza outros recursos do Azure, como a infraestrutura PaaS. Por isso, não é possível fornecer um intervalo de endereços IP específico que os pontos finais do serviço Cofre de Chaves terão num determinado momento. Se a sua firewall suporta apenas intervalos de endereços IP, consulte Microsoft documentos IP Ranges do Centro de Dados Azure disponíveis em:

A Autenticação e Identidade (Azure Active Directory) é um serviço global e pode efetuar a ativação pós-falha noutras regiões ou mover tráfego sem aviso prévio. Neste cenário, todos os intervalos de IP listados em Endereços IP de Identidade e Autenticação devem ser adicionados à firewall.

Passos seguintes

Se tiver dúvidas sobre Key Vault, visite a página de perguntas Microsoft Q&A para a Key Vault.